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INTRODUCTION 



Ce livre est destine aux developpeurs qui viennent 
de decouvrir PHP et qui se demandent comment 
l'utiliser pour leurs applications. Vous avez sure- 
ment des bases en programmation et vous avez 
probablement deja rencontre un grand nombre 
d'exemples sur Internet, mais vous vous demandez 
peut-etre pourquoi certains de ces exemples sont bien plus 
compliques que d'autres qui font la meme chose. 

Nous avons essaye de faire en sorte que les exemples de ce livre soient les plus 
simples possibles et d'expliquer au maximum chaque extrait de code : pour 
reduire les risques de confusion entre les codes serveur et client, nous n'avons, 
par exemple, que peu utilise JavaScript. Nous savons que vous etes impatient et 
c'est la raison pour laquelle le premier chapitre, "Tout ce que vous avez toujours 
voulu savoir sur les scripts PHP sans jamais oser le demander", presente des 
solutions rapides aux principaux petits problemes quotidiens que tout le monde 
rencontre. 

Lorsque vous serez rassasie, passez au Chapitre 2, "Configuration de PHP", 
pour savoir comment installer et configurer PHP - beaucoup de problemes sont 
dus a une mauvaise configuration. 



Le Chapitre 3, "Securite et PHP", poursuit dans cette voie en expliquant 
comment securiser vos scripts. 

Le Chapitre 4, "Traitement des formulaires", revient aux bases du langage. 
II explique notamment comment recuperer ce qu'a saisi l'utilisateur a partir 
d'un formulaire ou d'autres sources dynamiques. 

Le Chapitre 5, "Traitement du texte et de HTML", montre comment traiter 
le texte et les chaines de caracteres a l'aide de certains outils comme les expressions 
regulieres. 

Le Chapitre 6, "Traitement des dates", etudie comment gerer les temps et les 
dates avec PHP et MySQL et le Chapitre 7, "Traitement des fichiers", est consa- 
cre a la manipulation des fichiers. 

Apres ces points essentiels, le Chapitre 8, "Gestion des utilisateurs et des ses- 
sions", presente les details de la gestion et du suivi des sessions. Lorsqu'un site 
complexe attire de nombreux utilisateurs, il est important de savoir ce que fait 
chacun d'eux afin que la session d'un utilisateur particulier n'interfere pas avec 
celle des autres. 

Le Chapitre 9, "Traitement du courrier electronique" et le Chapitre 10, 
"Traitement des images" expliquent, respectivement, comment manipuler les 
e-mails et les images. Ces traitements etant generalement mal adaptes aux scripts 
serveurs, ces chapitres presentent des traitements relativement legers, qui peuvent 
ameliorer le comportement de votre site. 

Le Chapitre 11, "Utilisation de cURL pour les services web" montre com- 
ment configurer votre serveur web pour qu'il interagisse via XML avec des services 
web fournis par d'autres sites. 

Enfin, le Chapitre 12, "Mise en application", contient trois petits projets 
amusants qui peuvent etre integres a des sites plus importants. Ces projets mettent 
en pratique ce qui a ete presente auparavant dans cet ouvrage. 
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TOUT CE QUE VOUS AVEZ TOUJOURS 
VOULU SAVOIR SUR LES SCRIPTS PHP 
SANS JAMAIS OSER LE DEMANDER 



Les scripts presenters dans ce chapitre repondent a 
plusieurs questions qui encombrent les forums et les 
groupes de discussions consacres a PHP. Parmi elles, 
citons : 

• Comment aj outer des liens Precedent/ Suivanl a mon panier virtuel ? 

• Existe-t-il un moyen simple d'utiliser une couleur differente pour chaque 
ligne de mon tableau ? 

• Je veux trier un gros tableau et je ne sais pas comment faire ! 

• Quel systeme de templates puis-je mettre en place pour que mes donnees 
soient formatees de la meme facon sur toutes les pages ? 

Bien que ce livre contienne des scripts assez compliques et que d'autres vous 
sembleront plus interessants, ceux qui sont presentes ici repondent aux ques- 
tions que nous rencontrons sans cesse. Ces scripts pour debutants representent 
ce que tout le monde devrait savoir ou voudrail savoir. Faites lire ce chapitre a un 
programmeur en PHP que vous appreciez et il vous en sera reconnaissant. 



NOTE Si vous n 'avez pas peur dejouer le role d 'administrateur de votre serveur web, le Chapitre 2 
vous aidera egalement a progresser si vous debutez en PHP ; il vous facilitera egalement la 
vie si vous avez deja un peu programme avec ce langage. 

Recette 1 : Inclure un fichier exterieur dans un script 

La plupart des applications serieuses utilisent un ensemble de variables et de 
scripts qui seront repris par quasiment toutes les pages. Si vous concevez, par 
exemple, un panier virtuel qui se connecte a une base de donnees MySQL, vous 
pouvez declarer le nom d'utilisateur et le mot de passe MySQL dans chaque page 
du panier, mais que se passera-t-il si vous devez changer ce mot de passe ? La 
modification et la mise a jour de chaque fichier sur le serveur pourront alors 
devenir un gros probleme. 

Au lieu de declarer le mot de passe dans chaque page de script, vous pouvez 
stocker le nom d'utilisateur et le mot de passe dans un fichier separe. Vous pour- 
rez ensuite inclure ce fichier dans votre script et toutes les variables declarees 
dans le fichier seront automatiquement declarees dans le script ! 

En outre, vous pouvez egalement stocker des scripts ou des fonctions dans un 
fichier et ne les inclure que lorsque vous en avez besoin. La fonction permettant 
de suivre en temps reel les expeditions UPS, par exemple, represente 24 Ko de 
traitement XML, mais elle ne sert que lorsqu'un client choisit UPS comme type 
d'expedition. Pourquoi ne pas alors la stocker dans un fichier suivi_ups.php et ne 
l'appeler que lorsque cela s'avere necessaire ? 

En realite, quasiment toutes les applications PHP professionnelles emploient 
un fichier portant un nom comme config.php, qui contient les declarations des 
variables essentielles utilisees par toutes les pages : le nom d'utilisateur et le mot 
de passe MySQL, par exemple. Ces applications stockent egalement les scripts 
utilitaires dans des repertoires distincts : les programmeurs peuvent alors faire de 
savants melanges en prenant le script qui verifie-si-un-utilisateur-est-connecte 
dans un repertoire et le script qui recupere-les-donnees-de-la-base dans un autre. 
II leur reste a ecrire un script qui adapte la vue des donnees en fonction de la 
connexion ou non de l'utilisateur. Voici comment faire : 



<?php 

require_once( " /chemin/vers/f ichier. php" ) ; 
?> 



Le fichier passe a require_once( ) fait desormais partie du script, exactement 
comme si vous aviez copie son contenu pour le coller dans le script. Vous pouvez 
meme inclure des fichiers HTML pour creer un systeme de templates rudi- 
mentaire. 

Quel que soit le nom du fichier, PHP tentera de lire son contenu comme du 
code PHP. Comme pour tout fichier PHP, vous devez done entourer le code 
PHP contenu dans ce fichier par les balises <?php et ?> ; sinon, l'interpreteur se 
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contentera d'afficher le contenu brut de tout le fichier (meme s'il est code en 
binaire). 

La fonction require once ( ) s'utilisant comme n'importe quelle autre ins- 
truction, vous pouvez done l'integrer dans une structure de controle : 



if ($f ichier_necessaire === true) { 

require_once( "f ichier_necessaire . php" ) ; 

} 



Problemes eventuels 

Plusieurs choses peuvent mal tourner lorsque Ton inclut un fichier. 

Le chemin vers le fichier est incorrect. 

En ce cas, le script se termine en signalant une erreur fatale. Si vous preferez 
qu'il poursuive son execution meme s'il n'a pas trouve le fichier a inclure, utilisez 
include_once( ) a la place de require_once( ). 

Le chemin vers le script est correct, mais il se trouve dans un repertoire 
inaccessible en lecture. 

Ce probleme peut survenir si vous avez configure la variable open basedir 
pour restreindre les repertoires auxquels PHP a acces. Pour des raisons de secu- 
rite, les developpeurs web limitent l'acces aux fichiers et aux repertoires impor- 
tants. Nous expliquerons comment modifier les droits d'acces aux repertoires a 
la recette n°16, "Restreindre l'acces de PHP aux fichiers". 

Le fichier inclus contient une ligne blanche ou une espace avant 
ou apres le code du script PHP. 

Si votre script met en place des cookies ou effectue un traitement qui n'est 
pas conforme a HTTP, il doit le faire avant d'envoyer quoi que ce soit au naviga- 
teur. N'oubliez pas que PHP affiche tout ce qui ne se trouve pas entre les balises 
<?php et ?> dans un fichier inclus : si une ligne blanche se trouve avant ou apres 
ces balises, elle sera done envoyee au navigateur comme s'il s'agissait de code 
HTML, ce qui empechera la mise en place des cookies et le demarrage des ses- 
sions. Si vous incluez un script, verifiez qu'il n'y a pas d'espace a l'exterieur des 
balises PHP. Faites particulierement attention aux espaces apres la balise de 
fin ?> car generalement ils restent invisibles dans un editeur de texte. 

NOTE Les cookies servent a suivre la trace des utilisateurs et a stacker des informations cachees. 
Consultez le Chapitre 8 pour plus de details. 
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Le fichier inclus peut etre lu par des methodes non PHP. 

Vous pouvez stocker des variables PHP dans n'importe quel fichier, quel que 
soit son nom, mais si vous n'indiquez pas a Apache que ces fichiers doivent etre 
proteges en ecriture, il enverra leur contenu en texte brut a quiconque lui 
demande. Si vous n'y prenez pas garde, toute personne connaissant le nom de 
vos fichiers inclus pourra done les lire. 

II est inutile de preciser que le stockage des mots de passe et des noms de 
comptes MySQL dans un emplacement qui peut etre lu par Internet Explorer 
n'est pas considere comme une bonne mesure de securite. 

Pour ameliorer la securite, vous pouvez placer les fichiers inclus a l'exterieur 
des repertoires du serveur web (de preference, dans un repertoire dont l'acces 
est protege par un mot de passe) , afin que les scripts ne puissent etre accedes que 
par FTP. Si vous manipulez des donnees sensibles, comme des donnees bancaires, 
vous devriez vous sentir oblige de prendre ces mesures. 

NOTE Nous verrons comment valider un numero de carte bancaire a la recette n °30, "Verifier la 
validite d 'une carte de credit ". 

Vous etes perdu dons les inclusions. 

Unjour, j'ai achete un programme de panier virtuel parce qu'il etait ecrit en 
PHP et que je comptais adapter les scripts pour mes besoins professionnels. 
Imaginez ma surprise lorsque j'ai constate que son module principal (celui ou les 
visiteurs ajoutent, suppriment et modifient les articles) contenait 7 inclusions, 
12 lignes de code et 3 templates Smarty. J'ai ouvert l'un des fichiers inclus etj'ai 
decouvert - vous l'aurez devine - qu'il contenait a son tour trois inclusions. 

Les fichiers inclus permettent de rendre votre code tres compact mais, 
croyez-moi, si vous tentez de dechiffrer un script faisant appel a de tres nom- 
breux fichiers inclus, e'est l'enfer. Pour la sante mentale des autres program- 
meurs et des generations futures, n 'incluez pas un fichier sans ajouter un commentaire 
indiquant aux autres ce que fait ce fichier, merci. 

Vous utilisez des variables non verifiees comme noms de fichiers inclus. 

Bien que vous puissiez ecrire include($f ichier) pour inclure un script en 
fonction du choix de l'utilisateur, cette pratique permet a un pirate d'inclure 
n'importe quel fichier du site avec un minimum d'effort ou, selon la configura- 
tion de votre serveur, un fichier de son site qui s'introduira done sur votre ser- 
veur. En fait, quelques virus PHP utilisent ce genre de faute de programmation. 
En outre, ce genre de scripts sont bien plus sujets aux bogues et sont generalement 
impossible a relire. 

Si vous devez inclure des fichiers dont le nom provient d'une variable, utili- 
sez plutot un script comme celui de la recette n°28, "S'assurer qu'une reponse 
fait partie d'un ensemble de valeurs", afin de verifier que les noms de fichiers 
sont corrects et eviter ainsi qu'un pirate puisse lire votre fichier de mots de 
passe. 
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Recette 2 : Alterner les couleurs des lignes cTun tableau 



Si vous devez presenter un grand nombre d'informations sous la forme de 
lignes d'un tableau, comme les sujets d'un forum de discussion ou les articles 
d'un panier virtuel, les differentes lignes seront bien plus faciles a lire si chacune 
d'elles a une couleur legerement differente de celles des lignes qui l'entourent. 
La premiere etape consiste a definir les couleurs des lignes de tableau dans votre 
feuille de style. 



tr.ligl { 

background-color: gray; 

} 

tr.lig2 { 

background-color: white; 

} 



Ici, on a defini deux classes de style, ligl et lig2, pour les balises de lignes de 
tableau (<tr>). Vous pouvez les integrer dans un fichier CSS inclus par votre 
document ou les placer entre les balises <style> et </style> dans la partie <head> 
du document. 

Definissons maintenant une fonction qui retourne alternativement ces 
classes. Nous utiliserons une petite astuce consistent a passer par reference une 
variable entiere a cette foncdon, qui pourra ainsi modifier cette variable qui servira 
de bascule pair/impair : 



function formater_ligne_tableau(&$cpteur_lig) { 
// Renvoie la classe de style pour une ligne 
if ($cpteur_lig & 1 ) { 

$couleur_lig = "lig2"; 
} else { 

$couleur_lig = "ligl"; 

} 

$cpteur_lig++; 
return $couleur_lig ; 

} 



Voyons maintenant comment udliser cette foncdon. On cree d'abord une 
requete SQL pour obtenir quelques lignes de donnees a pardr de la table decrite 
dans Fannexe, puis on lance le formatage du tableau : 



$sql = "SELECT nom_produit FROM inf os_produits" ; 
$resultat = @mysql_query($sql, $db) or die; 

echo "<table>"; 
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Le reste est assez simple ; il suffit d'initialiser la variable bascule $i, d'appeler 
f ormater ligne tableau ($i) sur chaque ligne afin d'obtenir des classes de style 
alternees et d'associer a chaque ligne du tableau la classe ainsi obtenue. Enfin, il 
reste a fermer le tableau : 



$i = 0; 

while($lig = mysql_f etch_array($resultat) ) { 
/* Affichage du resultat */ 
Sclasse_lig = formater_ligne_tableau($i) ; 

echo "<tr class=\ "$classe_lig\ "><td>$lig[nom_produit]</td></tr>" ; 

} 

echo "</table>"; 



II est essentiel de comprendre comment fonctionne f ormater_ligne_ 
tableau ( ) : il faut initialiser une variable entiere pour representer l'etat, mais la 
valeur en elle-meme n'a aucune importance puisque la fonction s'en occupe 
pour vous. 

Amelioration du script 

Vous pouvez faire un million de choses avec les feuilles de style. Pour plus 
d'informations sur les CSS, consultez l'une des nombreuses ressources en ligne 
consacrees a ce sujet ou lisez le livre d'Eric Meyer, CSS par Eric Meyer (Pearson, 
2005). En utilisant une approche objet, vous pouvez aisement convertir cette 
fonction en une methode de formatage de tableau : au lieu de declarer explicite- 
ment une variable d'etat, il suffit de creer une classe avec une variable privee 
chargee de memoriser cet etat. Le constructeur et le destructeur ouvrent et fer- 
ment, respectivement, les balises du tableau. Voici a quoi ressemblera cette 
classe : 



class TableauAlterne { 

function construct () { 

$this->etat = 0; 
print "<table>"; 

} 

function destruct() { 

print "</table>"; 

} 

function af f iche_ligne ($ligne) { 
if ($this->etat & 1) { 

$couleur_lig = "lig2"; 
} else { 

$couleur_lig = "ligl"; 

} 

print "<tr class=\ "$couleur_lig\ ">" ; 
foreach ($ligne as Svaleur) { 
print "<td>$valeur</td>" ; 
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} 

print "</tr>"; 
$this->etat++; 

} 

} 



Void comment utiliser cette classe (en supposant que la requete SQL est 
identique a celle de l'exemple precedent) : 



$montableau = new TableauAlterne; 

while($ligne = mysql_f etch_row($resultat) ) { 
/* Affichage du resultat. */ 
$montableau->af f iche_ligne ($ligne) ; 

} 

unset($montableau) ; 



Au premier abord, vous pourriez penser que c'est une belle amelioration car 
elle est un peu plus simple a utiliser - il n'est plus necessaire de se preoccuper de 
la variable d'etat, la methode affiche_ligne( ) peut gerer un nombre quelconque 
de colonnes et vous n'avez plus non plus besoin d'ecrire le moindre code HTML 
pour ouvrir et fermer le tableau. C'est, en effet, un avantage indeniable si tous 
vos tableaux se ressemblent, mais cette apparente simplicite se paye en termes de 
souplesse et d'efficacite. Vous pourriez bien sur ajouter des methodes et des attri- 
buts pour effectuer des traitements supplementaires, comme l'ajout d'en-tetes 
aux tableaux, mais demandez-vous si cela en vaut reellement la peine. 

Recette 3 : Creer des liens Precedent/Suivant 

Si vous devez afficher un grand nombre d'articles sur une page, il peut etre 
souhaitable de decouper cet affichage en plusieurs pages contenant, chacune, un 
nombre limite d'articles. Vos resultats seront ainsi plus faciles a lire et vous 
ameliorerez le temps de chargement des pages. 

Une barre de navigation permet aux utilisateurs de controler le chargement 
de ces pages. Vous avez besoin d'une barre comportant des liens Precedent et Sui- 
vant, ainsi que des liens permettant d'atteindre une page precise d'apres son 
numero. Voici un script qui prend tout cela en charge : 



<?php 

function creer_navbar($num_deb = 0, $articles_par_page = 50, $nbre) { 
// Creation d'une barre de navigation 
Spage_courante = $_SERVER[ "PHP_SELF" ] ; 

if (($num_deb < 0) || (! is_numeric ($num_deb) ) ) { 
$num_deb = 0; 

} 
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Snavbar = " " ; 
$navbar_prec = " " ; 
$navbar_suiv = " " ; 

if ($nbre > $articles_par_page) { 
$cpteur_nav = 0; 
$nb_pages = 1 ; 
$nav_passee = false; 

while ($cpteur_nav < $nbre) { 
// Est-on sur la page courante ? 

if (($num_deb <= $cpteur_nav) && ($nav_passee != true)) { 

Snavbar .= "<b><a href =\ "$page_courante?debut=$cpteur_nav\ "> 
[$nb_pages]</a></b>" ; 

$nav_passee = true; 

// Faut-il un lien "Precedent" ? 

if ($num_deb != 0) { 

$num_prec = $cpteur_nav - $articles_par_page; 

if ($num_prec < 1 ) { 
$num_prec = 0; 

} 

$navbar_prec = "<a href =\ "Spage_courante?debut=$num_prec \"> 
<< Precedent - </a>"; 

} 

$num_suiv = $articles_par_page + Scpteur_nav; 

// Faut-il un lien "Suivant" ? 
if ($num_suiv < $nbre) { 
$navbar_suiv = "<a href=\" $page_courante?debut=Snum_suiv\ "> 
- Suivant>> </a><br>"; 

} 

} else { 

// Affichage normal. 

$navbar .= "<a href=\ "$page_courante?debut=Scpteur_nav\ "> 
[$nb_pages]</a>" ; 

} 

$cpteur_nav += $articles_par_page; 
$nb_pages++; 

} 

Snavbar = $navbar_prec . $navbar . $navbar_suiv ; 

return Snavbar; 

} 
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Supposons que vous utilisiez ce script pour traiter des informations prove- 
nant d'une base de donnees. II y a deux points a respecter pour que raffichage 
soit precis et efficace : 

N'afficher qu'un sous-ensemble de lignes de votre base de donnees. 

Si vous souhaitez n'afficher que 25 articles par page, ecrivez une requete SQL 
qui ne renvoie que 25 lignes (vous pourriez tout recuperer, puis parcourir les mil- 
liers de lignes de resultats pour ne garder que les 25 qui vous interessent, mais il 
existe des methodes bien plus efficaces) . En outre, vous voulez ne montrer que 
25 articles specifiques. Recuperer les 25 premiers articles de la base ne vous aidera 
pas si l'utilisateur veut consulter les produits correspondant aux articles 176 a 
200. 

Heureusement, la clause LIMIT de SQL permet d'atteindre aisement ces deux 
objectifs puisqu'elle permet de ne recuperer qu'un certain nombre de lignes 
dans une base de donnees. La requete SQL sera done de la forme : 



SELECT * FROM votre_table 
WHERE conditions 

LIMIT $num_det>, $articles_par_page 



Lorsqu'elle est ajoutee a la fin d'une requete, la clause LIMIT n'extrait que le 
nombre indique de lignes de l'ensemble resultat. En mettant, par exemple, LIMIT 
75 , 25 a la fin d'une requete, on ne recupere que 25 lignes de la base a partir de 
la 75 e ligne. 

NOTE Si le numero de la ligne de debut est superieur au nombre de lignes disponibles, MySQL ne 
renvoie aucune donnee. Si, par exemple, vous utilisez une clause LIMIT 200, 25 alors que 
la table ne contient que 199 lignes, vous obtiendrez un ensemble resultat vide, pas une 
erreur. Les programmes bien ecrits prennent en compte les ensembles vides en faisant un test 
if (mysql_num_rows($resultat) > 0). 

Maintenant que vous n'avez que les lignes que vous souhaitiez, il vous reste 
une chose a faire. 

Compter le nombre total de lignes de l'ensemble resultat. 

Ensemble resultat est le terme employe par SQL pour signifier "toutes les don- 
nees qui ont ete renvoyees apres le traitement de la clause WHERE". On a besoin 
du nombre total de lignes pour savoir sur quelle page on se trouve et combien il 
reste de pages avant la fin. Sans lui, nous pourrions afficher un lien Suivant alors 
qu'il n'y a plus d'articles a voir et nous ne pourrions pas indiquer a l'utilisateur le 
nombre de pages qu'il lui reste a consulter. 
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La requete SQL devrait etre de la forme : 



SELECT count (*) AS nombre FROM votre_table 
WHERE conditions 



Lorsque vous disposez de cette information, vous pouvez greffer les trois 
informations dans la fonction creer navbar ( ) . Celle-ci contient plusieurs 
variables : 

$page_courante : La page courante qui contient la barre de navigation. Dans 
ce script, nous utilisons la variable speciale $_SERVER[ "PHP SELF" ] qui contient 
toujours la page courante sans le nom d'hote ni les eventuels parametres 
GET. Dans un script accessible a FURL http://exemple.com/nav- 
bar.php?debut=0, par exemple, Spage courante vaudrait /navbar.php. 
$num_deb : Le premier numero de ligne. Si, par exemple, l'utilisateur exa- 
mine les lignes 100 a 125, ce numero vaudra 100. II est passe a FURL via un 
parametre GET. Par defaut, il vaut 0. 

$articles_par_page : Le nombre de lignes affichees sur chaque page. Si, par 
exemple, il y a 100 lignes de donnees, une valeur de 25 pour cette variable 
produira quatre pages de 25 lignes chacune. Ces memes 100 lignes avec une 
valeur de 50 pour $articles_par_page produirait deux pages de 50 lignes. Si 
cette variable vaut 200, un ensemble de 100 lignes n'aura pas de barre de 
navigation puisque tout tient sur une seule page. La valeur par defaut de 
cette variable est 50. 

Snbre : Le nombre total de lignes. Nous avons deja explique comment obte- 
nir cette information dans "Compter le nombre total de lignes de Fensemble 
resultat". 

$cpteur_nav : Cette variable part de et s'incremente de $articles_par_page 
jusqu'a ce qu'elle devienne superieure a $nbre, auquel cas le script a atteint la 
fin de Fensemble resultat - et done la fin de la barre de navigation. 
$nb_pages : Le nombre de pages dans Fensemble resultat. 
$nav_passee : Une variable temporaire qui passe a vrai des que $cpteur nav 
depasse $num_deb ; en d'autres termes, nous sommes sur la page courante. 
Cela permet de mettre en evidence le numero de la page courante lors de 
Faffichage de la barre de navigation. 

Utilisation du script 



<?php 

$num_deb = intval($_GET( "debut" )) ; 
$articles_par_page = 100; 
$categorie_ventes = null; 

if ($num_deb >= 0) { 
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// Compte les articles de la categorie. 

Ssql = "SELECT count (*) AS nombre FROM inf os_produits 

WHERE categorie = ' chaussures ' " ; 
Sresultat = @mysql_query(Ssql, $chaine_connexion) 

or die("Erreur : " . mysql_error ( ) ) ; 
while ($ligne = mysql_f etch_array($resultat) ) { 
$nbre = $ligne[ ' nombre '] ; 

} 

// Recupere le resultat a afficher pour le client. 
Ssql = "SELECT num_produit , nom_produit FROM inf os_produit 
WHERE categorie = 'chaussures' 
LIMIT $num_deb, $articles_par_page" ; 
Sresultat = @mysql_query($sql, Schaine_connexion) 

or die("Erreur : " . mysql_error ( ) ) ; 
if (mysql_num_rows (Sresultat) > 0) { 
while($ligne = mysql_f etch_array (Sresultat ) ) { 
// Parcourt des lignes et ajoute des balises HTML 
// dans Scategorie_ventes. 

$categorie_ventes .= "Donnees provenant de la requete SQL"; 

} 

} else { 

$categorie_ventes = "Aucun article n'appartient a cette categorie."; 

} 

Snavbar = creer_navbar($num_deb, Sarticles_par_page, Snbre) ; 

} 

if (is_null(Scategorie_ventes) ) { 

echo "Entree incorrecte. " ; 
} else { 

echo "$navbar<br />$categorie_ventes" ; 

} 

?> 



Cet exemple montre comment utiliser la fonction creer_navbar( ) avec un 
ensemble de donnees provenant d'une table SQL (le content! de cette table est 
detaille en annexe). Ce script fonctionne de la facon suivante : 

1. Le premier numero de ligne est extrait d'un parametre GET et place dans 
la variable $num_deb. 

2. Une premiere requete SQL permet d'obtenir le nombre total de lignes 
concernees dans la table. 

3. Une seconde requete extrait au plus $articles_par_pages lignes de la 
table, a partir de la ligne $num_deb. 

4. Les donnees de la ligne sont formatees. 
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5. La fonction creer_navbar( ) cree la barre de navigation ; la barre formatee 
est placee dans la variable Snavbar 

6. Le script affiche la barre de navigation et les donnees formatees. 

Recette 4 : Afficher le contenu d'un tableau 

Supposons que vous ayez ajoute et ote des elements d'un tableau mais que 
ces modifications provoquent quelques problemes. Vous voulez consulter le contenu 
du tableau a un instant donne du code. Pour cela, il existe une solution tres sim- 
ple, pourtant souvent meconnue de nombreux didacticiels PHP : la fonction 
print r ( ) . Voici un exemple : 



<?php 

$alacarte = array( "creme glacee au chocolat", 
"pudding a la vanille", 
"f raises a la creme fouettee"); 
$menu = array ( "amuse-gueule" => "fruit", 
"entree" => "rosbif", 
"dessert" => Salacarte); 

print_r($menu) ; 
?> 



La fonction print_r( ) affiche le tableau sous un format lisible, ce qui est par- 
ticulierement pratique lorsque Ton manipule des tableaux a plusieurs dimensions 
(tableaux contenant d'autres tableaux) . II suffit de passer a print_r( ) un tableau 
en parametre et Ton obtient un affichage sous un format simple. Comme ce for- 
mat utilise des espaces et pas de balises HTML, vous devrez probablement consul- 
ter le format source de la page pour visualiser le contenu du tableau tel qu'il est 
produit. L' exemple precedent affichera : 



Array 
( 

[amuse-gueule] => fruit 
[entree] => rosbif 
[dessert] => Array 
( 

[0] => creme glacee au chocolat 

[1] => pudding a la vanille 

[2] => fraises a la creme fouettee 

) 

) 
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Recette 5 : Transformer un tableau en variable scalaire 
qui pourra etre restauree ulterieurement 

Bien que les tableaux soient tres utiles, ils ne peuvent pas etre utilises partout. 
Vous ne pouvez pas les stocker dans un cookie ni dans une session, par exemple. 
En outre, MySQL et XML ne savent pas non plus gerer les tableaux de PHP. 

Heureusement, il existe un moyen de transformer les tableaux PHP en chai- 
nes qui, elles, peuvent etre stockees n'importe ou : la fonction serialize ( ). Voici 
un script qui illustre son fonctionnement (on suppose que le tableau $alacarte 
est le meme que dans la section precedente) : 



<?php 

$menu = array) 

"amuse-gueule" => "fruit", 
"entree" => "rosbif", 
"dessert" => Salacarte); 

$menu_s = serialize($menu) ; 

echo $menu_s; 

?> 



L'execution de ce script donnera le resultat suivant : 



a:3: {s:12: "amuse-gueule" ;s:5: "fruit" ;s:7: "entree" ;s:6: "rosbif" ;s:7: "dessert" ; 
a:3: {i:0;s :26: "creme glacee au chocolat" ;i:1 ; s : 21 : "pudding a la vanille" ;i:2;s:30: 
"f raises a la creme fouettee";}} 



Vous pouvez stocker cette valeur a peu pres n'importe ou - dans des cookies, 
des bases de donnees, des parametres caches POST etc. Pour effectuer la manoeuvre 
inverse, il suffit d'utiliser la fonction deserialize ( ) de la facon suivante : 



$menu = deserialize ($menu_s) ; 



Problemes eventuels 

serialize () est une fonction tres pratique, mais vous devez connaitre cer- 
tains points. Les tableaux serialises sont relativement faciles a lire : si vous stockez 
des tableaux contenant des donnees sensibles dans des cookies ou des sessions, il 
est done preferable de les chiffrer auparavant pour eviter que vos donnees ne 
soient recuperees par des utilisateurs malhonnetes (voir la recette n°23, "Chiffrer 
les donnees avec Mcrypt"). 
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N'abusez pas non plus de cette fonction. Si vous constatez que vous stockez 
souvent des tableaux dans des bases de donnees ou que vous recuperez frequem- 
ment des chaines de serialisation, vous devriez surement revoir la structure de 
votre base de donnees ou le mecanisme de stockage. 

Enfin, evitez de passer des tableaux serialises dans des parametres GET car la 
limite de la taille des URL est assez courte. 

Recette 6 : Trier des tableaux d plusieurs dimensions 

Une tache de programmation eternelle consiste a trier des tableaux complexes 
comme celui-ci : 



$articles = array( 

array("nom" => "Mojo Nixon", "prix" => 19.96, "quantite" => 2), 
array( "nom" => "ABBA", "prix" => 14.99, "quantite" => 1 ) , 
array("nom" => "Iced Earth", "prix" => 12.96, "quantite" => 4), 

); 



Vous voulez trier ce tableau en fonction de la cle nom de chaque sous-tableau. 
PHP, comme de nombreux autres langages de scripts, dispose d'une fonction de 
tri nomme usort ( ) qui permet de trier en utilisant une fonction de comparaison 
definie par l'utilisateur. En d'autres termes, vous pouvez trier un tableau sur le 
critere de votre choix et vous n'avez pas besoin de vous soucier des mecanismes 
des algorithmes de tri. Avec usort ( ), un script de tri selon les noms se ramene 
done au code suivant : 



function compare_noms($a, $b) { 

return strcasecmp($a[ "nom" ] , $b["nom"]); 

} 

usort ($articles, "compare_noms" ) ; 



Si ce script semble si simple, e'est parce qu'il... Test. La fonction de compa- 
raison personnalisee s'appelle compare noms ( ) ; elle utilise une autre fonction de 
comparaison pour comparer les deux elements qui lui sont passes en parametres 
($a et $b, ici). 

• Pour etre utilisable par usort(), compare_noms( ) doit simplement indiquer 
Fordre relatif de $a par rapport a $b :Si $a est inferieur a $b, elle doit renvoyer 
-1. 

• Si $a est egal a $b, elle doit renvoyer 0. 

• Si $a est superieur a $b, elle doit renvoyer 1. 

Dans cette fonction de comparaison, $a et $b sont des tableaux dont nous 
voulons comparer les valeurs des cles nom : nous devons done comparer $a [ " nom " ] 
et $b[ "nom" ]. Nous pourrions aisement le faire en utilisant quelques instructions 
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if /then mais, ces valeurs etant des chaines, il est preferable d'utiliser la fonction 
predefinie strcasecmp( ) pour des raisons de performance, de lisibilite et de fiabi- 
lite. 

NOTE PHP dispose d'une fonction array_multisort( ) qui se veut etre une solution fourre-tout 
pour k tri des tableaux a plusieurs dimensions. Cependant, elk est vraiment tres compliquee ; 
nous vous deconseillons de I'utiliser. 

Amelioration du script 

La modification la plus evidente que vous pouvez apporter a la fonction de 
comparaison consiste a ajouter des criteres lorsque les deux elements sont egaux. 
En reprenant notre exemple precedent, voici comment trier d'abord sur les 
noms, puis sur les prix lorsque deux noms sont egaux : 



function compare_noms($a, $b) { 

$r = strcasecmp($a[ "nom" ] , $b["nom"]); 
if ($r == 0) { 

if ($a[ "prix" ] < $b[ "prix" ] ) { 
$r = -1 ; 

} elseif ($a["prix"] > $b["prix"]) { 

$r = 1; 
} else { 

$r = 0; 

/* Pas vraiment necessaire puisque $r vaut deja 0. */ 

} 

} 

return($r) ; 

} 



Recette 7 : Creer des templates pour votre site avec Smarty 

L'aspect des pages de la plupart des sites est coherent. Bien que le contenu 
dynamique au sein d'une page puisse varier, elles ont generalement toutes un en- 
tete, une barre de navigation sur le cote et, eventuellement quelques publicites. 
II existe des moyens simples d'obtenir ce resultat, allant de fonctions d'affichage 
personnalisees pour creer les en-tetes a l'inclusion de fichiers. Selon la taille du 
site, ces solutions peuvent suffire, mais plus le contenu grossit et se complique, 
plus il devient difficile de modifier l'aspect des pages. 

Smarty (http://smarty.php.net) est la solution la plus connue pour creer des 
modeles (templates) en PHP. Avec lui, vous pouvez creer des modeles parametres : 
en d'autres termes, vous pouvez creer un unique fichier HTML contenant des 
balises d'emplacement pour les donnees produites par PHP. En outre, vous pou- 
vez inclure d'autres templates Smarty dans un template, ce qui permet de mieux 
organiser et modifier les parties d'un site. Lorsque Ton connait bien Smarty, on 
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peut mettre les donnees en cache afin d'ameliorer considerablement les acces a 
un site, mais il s'agit d'une technique avancee qui depasse le cadre de ce livre. 

Installation de Smarty 

Pour installer Smarty sur votre serveur, il suffit de suivre les etapes suivantes : 

1. Creez un repertoire smarty dans l'arborescence du serveur web, afin d'y 
stocker les fichiers principaux de Smarty. 

2. Telechargez la derniere version de Smarty a partir de http:/ / smarty.php.net/. 
Decompressez l'archive et extrayez-la dans un repertoire de votre ordi- 
nateur. 

3. Transferez tous les fichiers Smarty de votre ordinateur vers le repertoire 
smarty du serveur. 

4. Sur le serveur, creez un autre repertoire appele templates pour y stocker vos 
templates Smarty. Creez deux sous-repertoires sous celui-ci : html pour les 
templates bruts et compile pour les templates compiles par Smarty. 

5. Faites en sorte que le serveur puisse ecrire dans le repertoire compile. Si 
vous ne savez pas comment faire, lisez la section "Permissions des fichiers", 
au debut du Chapitre 7. 

6. Dans le repertoire templates, creez (ou telechargez) un fichier nomme 
smarty_initialize.php, contenant les lignes suivantes : 



<?php 

define ( "SMARTY_DIR" , " /chemin/vers/web/racine/smarty/ " ) ; 

require_once (SMARTY_DIR. "Smarty . class . php" ) ; 
$smarty = new Smarty; 

$smarty->compile_dir = "/ chemin / ve rs /web /racine/ templates /compile" ; 
$smarty->template_dir = " /chemin/vers/web/racine/templates/html" ; 

?> 



II y a quatre aspects tres importants dans le fichier smarty_initialize.php : 

• La constante SMARTY DIR pointe vers le repertoire de la bibliotheque Smarty. 

• Pour charger la bibliotheque, smarty_initialize.php a besoin du fichier 
Smarty. class. php. 

• Smarty etant oriente objet, vous devez creer un objet Smarty. C'est ce que fait 
$smarty = new Smarty dans ce script. 

• Smarty doit savoir ou se trouvent les templates bruts et compiles. Pour cela, il 
utilise deux attributs d'objets, compile dir et template dir. 

Maintenant que Smarty a ete configure, il est temps d'apprendre a s'en servir. 
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Initiation rapide a Smarty 

Comme l'indique le fichier smarty Jmitialize. php presente dans la section pre- 
cedente, les templates Smarty sont places dans le repertoire templates /html. Ces 
templates sont formes de HTML classique, de JavaScript, de CSS et de tout ce qui 
peut etre envoye a un navigateur web. Supposons que vous ayez cree un template 
HTML dans un fichier basic. tpl. Pour que Smarty l'affiche, vous devez utiliser la 
methode display () comme dans cet exemple : 



<?php 

require_once( "smarty_initialize . php" ) ; 

$smarty->display( "basic .tpl" ) ; 

?> 



Pour beneficier de toute la puissance de Smarty, vous devez placer les donnees 
produites par PHP dans un template. Pour creer une variable Smarty, utilisez des 
accolades avec un dollar ($) , comme dans cet exemple : 



<HTML> 
<head> 

<title>{$var_titre}</title> 
</head> 
<body> 

Je m'appelle {$var_nom} . 
</body> 

</HTML> 



Ce template utilise deux variables, $var_titre et $var_nom. Pour les initialiser 
afin que Smarty affiche leurs valeurs, utilisez la methode assign () : 



<?php 

require_once( "smarty_initialize . php" ) ; 

$titre_page = "Test des templates Smarty"; 
$nom_page = "William Steinmetz"; 

$smarty->assign( "var_titre" , $titre_page) ; 
$smarty->assign( "var_nom" , $nom_page) ; 

$smarty->display( "basic. tpl" ) ; 
?> 
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Vous pouvez affecter ces variables avec quasiment n'importe quel type de don- 
nees PHP ; peu importe que ce soit des donnees MySQL, du code HTML prove- 
nant d'une autre source, des donnees fournies par l'utilisateur, etc. Si tout se 
passe bien, le code HTML ainsi produit affichera une page semblable a la 
Figure 1.1. 



Test des templates Smarty 

Gn^-'@@QDCEir^)-CB^) (g)s 

Jc m'appelle William Stcinmctz. 



Termine ^ 

Figure 1.1: Code HTML affiche dans un navigateur 

Problemes eventuels 

Hormis les erreurs classiques dues a des mauvais chemins, le probleme le 
plus frequent est celui ou le serveur web ne peut pas ecrire dans le repertoire com- 
pile que vous avez defini pour stocker les templates compiles de Smarty. Si le ser- 
veur n'a pas les droits d'ecriture et d'execution sur ce repertoire, Smarty 
echouera lorsqu'il tentera de creer les nouveaux fichiers ; la page s'afnchera, 
mais vous verrez apparaitre un affreux message d'avertissement a la place de 
votre template. 

Vous devez egalement verifier que toutes les variables ont ete affectees avec la 
methode $smarty->assign ( ) ; dans le cas contraire, Smarty leur affectera par 
defaut une chaine vide. Cela ne provoquera pas d'erreur, mais l'aspect de votre 
page s'en ressentira et certains elements pourront ne pas foncdonner comme 
prevu. 

Amelioration du script 

Pour mieux tirer parti de la puissance de Smarty, vous devez connaitre quelques 
details supplementaires. Vous pouvez, par exemple, inclure plusieurs templates 
dans le meme script : 



<?php 

// Initialisation de Smarty. 
require_once( "smarty_initialize . php" ) ; 

// Affichage du premier template Smarty 
$smarty->display( "entete.tpl" ) ; 
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echo "Contenu de la page<br />"; 

// Affichage du second template Smarty. 
$smarty->display( "pied_page.tpl" ) ; 

?> 



Parfois, il est preferable de decomposer les templates complexes en plusieurs 
parties. Si, par exemple, vous integrez une banniere publicitaire dans un fichier 
entete.tpl qui change peu, vous pouvez preferer editer cette banniere dans un 
fichier separe publicite.tpl qui sera inclus dans le template entete.tpl : 



<tr><td><img src=" logo . gif " ></td> 
<td> 

{include f ile="publicite.tpl"} 

</td> 

</tr> 



Smarty est tres puissant - vous pouvez, par exemple, construire des tableaux 
et les formater entierement en affectant simplement un tableau PHP a une 
variable Smarty. Le langage dispose en outre de boucles if/ then rudimentaires ; 
il permet de mettre des donnees en cache et fournit des fonctions de pre et de 
post-filtrage, etc. Maintenant que vous connaissez les rudiments du fonction- 
nement de Smarty, le mieux que vous ayez a faire est de consulter sa documentation 
en ligne pour en savoir plus. 
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2 

CONFIGURATION DE PHP 



A l'instar de tout logiciel, PHP utilise de nombreuses 
options de configuration qui affectent son fonction- 
nement. La plupart de ces options ne sont pas tres 
significatives, mais un petit nombre d'entre elles sont 
mportantes et tout programmeur doit les connaitre. 

En outre, de nombreuses extensions a PHP, appeles bibliolheques, ajoutent de 
nouvelles possibilites au langage. L'extension cURL, par exemple, permet a un 
serveur d'envoyer des donnees de formulaire a d'autres serveurs et de traiter les 
donnees qui lui reviennent. Mcrypt, quant a elle, est une extension qui permet 
d'effectuer un chiffrement sophistique pour stocker des donnees sensibles en 
toute securite. 

Ce chapitre presente les options de configuration que les programmeurs 
PHP utilisent souvent et indique quand il faut les utiliser. 




Les options de configuration et le fichier php.ini 

De nombreux programmeurs debutants considerent les options de configu- 
ration par defaut de PHP comme s'ils etaient des locataires emmenageant dans 
un nouvel appartement : ils ont peur de faire des modifications de crainte de perdre 
leur caution. Vous devez plutot considerer PHP comme votre propre maison : 



si vous comptez y vivre longtemps, pourquoi ne pas rearranger le mobilier et sup- 
primer un mur ou deux ? 

NOTE Selon I'hote qui heberge votre serveur web, vous ne pourrez peut-etre pas modifier vous-meme 
les options de configuration. Cependant, les services d'hebergement serieux voudront bien 
effectuer ces modifications pour vous et de nombreuses formules d'hebergement haut de 
gamme permettent de modifier les directives a Vaide d'un fichier de configuration specifique 
a chaque utilisateur. 

Les options de configurations de PHP se trouvent dans un fichier nomme 
php.ini, que vous pouvez consulter et modifier avec n'importe quel editeur de 
texte. Ces options sont classees en sections et sont de la forme : 

max_execution_time = 30 ; Temps maximum d' execution 
max_input_time = 60 ; Temps maximum d' analyse d'une saisie 
memory_limit = 8M ; Memoire maximum utilisable par un script 



Pour configurer les options, utilisez le signe egal (=). Un point-virgule (;) 
indique le debut d'un commentaire, mais il y a quelques exceptions car certaines 
options peuvent contenir des points-virgules. Si vous voulez modifier definitive- 
ment la valeur d'une option, sauvegardez d'abord le fichier php.ini, modifiez 
l'original et relancez Apache. Si vous preferez modifier les options script par 
script, utilisez la fonction ini set ( ) . 

Trouver I' emplacement de votre fichier php.ini 

II peut etre parfois un peu difficile de trouver l'emplacement du fichier 
php.ini sur un systeme, surtout s'il y a plusieurs installations de PHP qui cohabitent. 
Void quelques moyens de le trouver : 

• Sur les systemes Unix, regardez dans /usr/lib ou /usr/local/lib. II devrait se 
trouver dans le repertoire lib de la sous-arborescence ou PHP a ete installe. 

• Avec Windows, essayez C:\php ou c:\Program FilesXPHP. 

• Appelez la fonction phpinfo( ) dans un script PHP (la section suivante don- 
nera plus de details). L'emplacement du fichier apparait pres du debut avec 
l'etiquette Configuration File (php.ini) Location. 

• Sur la plupart des systemes Unix, la commande find / -name php . ini renvoie 
tous les noms de fichiers qui correspondent a php.ini. 

NOTE De nombreuses options de configuration ne se trouvent pas dans le fichier php.ini par 
defaut ; PHP utilise des valeurs par defaut lorsque celles-ci ne sont pas precisees. Vous trou- 
verez la liste de ces valeurs par defaut a I'URL http://www.php.net/manual/fr/ini.php. 
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Recette 8 : Afficher toutes les options de configuration 
de PHP 



PHP possede de nombreuses fonctionnalites, mais elles ne sont pas toutes 
activees ou integrees lors de l'installation. Pour connaitre celles dont dispose 
votre installation, vous pouvez utiliser un script tres simple qui vous dira tout ; 
cependant, ce script donne tellement d 'informations qu'il provoque quasimentles 
pirates potentiels en leur disant "He, void mes points faibles, utilisez-les pour 
penetrer sur mon systeme". Par consequent, n'oubliez pas de le supprimer des 
que vous n'en avez plus besoin. 



<?php 
phpinfo() ; 
?> 



La fonction phpinf o( ) affiche tout ce que sait PHP de sa configuration, abso- 
lument tout. Non seulement elle indique l'etat de chaque variable de la configura- 
tion, F emplacement du fichier php.ini et la version de PHP, mais elle precise 
egalement la version du logiciel utilise par le serveur web, les extensions qui ont 
ete compilees avec PHP et l'API du serveur. Elle est done tres pratique pour exa- 
miner les options de configuration et s'assurer qu'une fonctionnalite a ete installee 
et activee correctement. 

Pour executer ce script, chargez la page dans votre navigateur web. N'oubliez 
pas de le supprimer lorsque vous avez termine. 

Recette 9 : Obtenir la valeur d'une option de configuration 
particuliere 

Dans certains cas, phpinf o ( ) peut etre un peu trop lourd par rapport a ce que 
Ton recherche. Vous voulez peut-etre simplement savoir si les "apostrophes magi- 
ques" sont activees ou uniquement verifier un chemin. En outre, phpinf o() ne 
vous aidera pas si vous ecrivez un script qui se comporte d'une certaine facon 
lorsqu'une option est activee et d'une autre si elle ne l'est pas. 

La fonction ini get ( ) permet d'obtenir la valeur d'une option de configura- 
tion particuliere : 



<?php 

echo " register_globals vaut " . ini_get ( 1 register_globals ' ) ; 
?> 



ini get ( ) renvoie la valeur de l'option dont on lui a passe le nom en parame- 
tre. Cette valeur etant une valeur classique, elle peut done etre afnehee, affectee 
a une variable, etc. Vous devez cependant savoir deux choses. 
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La premiere est que les valeurs booleennes, comme "false", sont generale- 
ment renvoyees sous la forme d'une chaine vide lorsque vous les afHchez. Si 
register globals vaut "off', vous verrez done probablement ce message : 



register_globals vaut 



Le second point est que les valeurs numeriques sont souvent stockees sous 
forme raccourcie. Si upload_max_f ilesize vaut 8 192 octets, par exemple, la 
valeur renvoyee sera 8KB. De meme, si la taille maximale d'un fichier depose est 
de 2 Mo, upload max f ilesize ne vaudra pas 2 097 152 octets, mais 2MB. 

Cela peut evidemment poser probleme si vous effectuez des operations arith- 
metiques sur ces nombres. La documentation officielle de PHP propose done la 
fonction suivante pour convertir les formes abregees K et M en veritables 
nombres : 



function renvoie_octets ($val) { 
Sval = trim($val) ; 
$dernier = $val{strlen ($val) -1 } ; 
switch(strtoupper($dernier) ) { 
case 1 K' : 

return (int) $val * 1024; 
break; 
case 1 M 1 : 

return (int) $val * 1048576; 
break; 
default : 

return $val; 

} 

} 



Recette 1 : Signaler les erreurs 

Lorsque Ton programme, on peut tres facilement oublier un nom de 
variable ou utiliser un code obsolete. Parfois, PHP est si compatissant envers 
l'utilisateur qu'il contourne de nombreuses erreurs de programmation classi- 
ques. 

II permet, par exemple, d'ecrire un programme sans declarer toutes les varia- 
bles au debut, ce qui est tres pratique jusqu'a ce que vous orthographiez Schaine 
comme $chiane et que le programme se plaigne d'une valeur nulle. Vous pouvez 
egalement passer des parametres aux fonctions un peu n'importe comment et la 
plupart du temps cela fonctionnera malgre tout car PHP essaie de supposer ce 
que vous vouliez faire. Tout ira pour le mieux jusqu'a que ces suppositions soient 
incorrectes et que vous vous cassiez la tete a decouvrir la raison de ce bogue 
mysterieux qui empeche votre programme de fonctionner. 
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Pour empecher PHP de corriger automatiquement ces problemes, vous pou- 
vez activer le suivi des erreurs, ce qui remplira votre ecran de messages a chaque 
fois que PHP detecte une erreur - quelle que soit sa gravite. Vous pourrez alors 
utiliser ces messages d'erreur pour corriger les potentiels trous de securite et 
decouvrir les mauvaises variables de votre programme. Pour activer le suivi des 
erreurs, placez le code suivant au debut d'un script : 



<?php 

error_reporting(E_ALL) ; 
// Reste du script. 
?> 



L'activation du suivi des erreurs force PHP a afficher les messages d'erreur a 
F ecran avant de traiter le reste du programme (ce qui rend impossible la mise en 
place de cookies en cas d'erreur - ce n'est done pas la peine d'essayer de modifier 
les valeurs de cookies la premiere fois que Ton active ce suivi). 

Messages d'erreurs classiques 

II faut bien comprendre les trois messages d'erreurs les plus frequents. 



Notice: Undefined variable: var in script. php on line n 

Ce message indique que vous utilisez une variable qui n'a pas ete definie 
auparavant dans le script, ce qui peut arriver dans de nombreuses circonstances : 

• Vous avez mal orthographie un nom de variable. 

• La definition de la variable se trouve dans une structure conditionnelle, 
comme ici : 



if ($fred == "Je m'appelle Fred") { 
$son_nom_est_f red = "yes"; 

} 



• Vous avez concatene une variable sans l'avoir declaree explicitement. 

Vous rencontrerez plus probablement le probleme suivant lorsque vous 
tenterez d'utiliser un ancien code PHP dans votre programme : 



Notice: Use of undefined constant k - assumed 'k' in script. php on line n 



Ce message d'avertissement signifie generalement que vous avez passe une 
chaine en parametre a une fonction sans la mettre entre apostrophes. En 
d'autres termes, vous avez ecrit quelque chose comme strtolower(chaine) au 
lieu de strtolower( "chaine" ). 
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Enfin, voici un message d'erreur classique qui apparait lorsque Ton accede a 
un tableau : 



Notice: Undefined index: i in script. php on line n 



II signifie que vous avez tente de lire $tableau [ i] alors qu'il n'y a pas d'indice 
i dans Stableau. Cette erreur survient souvent lorsque Ton tente de recuperer 
une valeur de formulaire a partir de $_POST ou $_GET, alors qu'aucun de ces 
tableaux ne comporte de valeur de ce nom. Cela signifie generalement que l'uti- 
lisateur n'a pas coche la bonne case ou le bon bouton radio (et ne lui a done pas 
donne de valeur) ou que la variable n'a pas ete passee a l'URL dans une requete 
GET. 

Sur un site en production, il est preferable de desactiver ce suivi des erreurs 
afin que les utilisateurs n'en aient pas connaissance et ne vous cassent pas les 
pieds, mais egalement parce qu'il interfere avec les cookies, ce qui peut poser 
probleme pour le suivi des sessions. 

Recette 1 1 : Supprimer tous les messages d'erreur 

Parfois, un script peut tres bien fonctionner alors que PHP insiste pour 
corriger un probleme. Par ailleurs, si quelque chose se passe mal, vous pouvez 
ne pas vouloir que les utilisateurs voient s'afficher un message d'erreur 
horrible (qui, en outre, revele des informations que les pirates adorent 
connaitre) . 

Heureusement, vous pouvez supprimer tous les messages d'erreur grace a 
une option de configuration de php.ini : 



display_errors = Off - 



Vous devriez utiliser cette configuration dans un environnement de produc- 
tion afin que tout Internet ne puisse prendre connaissance des messages d'erreur 
de votre script. Si vous devez connaitre ces messages pour resoudre des problemes, 
utilisez plutot l'option suivante pour que les messages soient inscrits dans le 
journal d'Apache : 



log_errors = On 



Si vous preferez, vous pouvez meme envoyer les messages d'erreur a syslog 
ou dans un fichier en initialisant l'option error log avec syslog ou en lui indi- 
quant un nom de fichier. 

Dans un environnement de developpement, les choses sont differentes car 
vous souhaiterez, au contraire, obtenir le plus possible de messages de diagnostic. 
Avec l'option display errors activee, vous pouvez configurer l'option error_ 
reporting de php.ini avec un champ de bits de votre choix (pour plus de details, 
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consul tez le fichier php.ini fourni avec votre distribution de PHP). Si un script 
pose vraiment probleme dans votre environnement de developpement et que 
vous voulez simplement le faire taire, utilisez la fonction suivante dans le script 
pour censurer ses messages d'erreur : 



error_reporting(0) ; 



Recette 1 2 : Allonger le temps d'execution d'un script 

Un jour, la societe pour laquelle je travaille a change ses paniers virtuels 
d'achat en ligne, ce qui m'a oblige a ecrire un script pour convertir les 250 Mo 
de donnees correspondant aux produits de l'ancien panier au format du nou- 
veau. Le script fonctionnait parfaitement mais il manipulait et transformait 
beaucoup de donnees, or PHP coupait son execution apres 30 secondes, bien 
avant qu'il ait le temps de finir. Ce n'est qu'apres avoir decouvert une option 
de configuration bien pratique que j'ai pu accomplir mon travail. La ligne sui- 
vante, ajoutee au debut d'un script, lui permet de disposer de 240 secondes 
pour se terminer. 



ini_set(max_execution_time, "240" ) ; 



L'option de configuration max execution time precise le temps maximal 
octroye a un script pour qu'il s'execute. Passe ce delai, son execution est automa- 
tiquement stoppee. N'abusez pas de cette option : si votre script ne peut pas 
s'executer en moins de quatre minutes, soit vous manipulez une base de donnees 
bien plus grosse que celles qu'utilisent la plupart des utilisateurs, soit votre script 
est tres peu efficace, soit vous vous etes trompe de langage de programmation. 

Problemes eventuels 

Votre serveur tourne peut-etre en mode securise, ce qui desactive la modification 
de max_execution_time. 

Verifiez egalement votre code : vous avez peut-etre une boucle infinie quel- 
que part ou vous avez imbrique une boucle dans une autre boucle qui ne fait 
rien. 

Recette 1 3 : Empecher les utilisateurs de deposer 
de gros fichiers 

Pour empecher vos utilisateurs de deposer les 70 Go du dernier volet de la 
"Guerre des etoiles" au format MPEG, vous pouvez fixer une taille maximale 
pour les fichiers que les utilisateurs sont autorises a deposer sur votre serveur 
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(pour savoir comment traiter les fichiers deposes, consultez la recette n°54, 
"Deposer des images dans un repertoire"). 



upload_max_f ilesize = 508K 

La taille maximale du fichier petit etre indiquee de trois facons differentes : 

• sous forme d'entier (qui represente le nombre total d'octets) ; 

• sous forme d'un nombre suivi de M pour indiquer une taille en mega-octets, 
comme 2M (2 Mo) ; 

• sous forme d'un nombre suivi de K pour indiquer une taille en kilo-octets, 
comme 8K (8 Ko) . 

Quel que soit le format choisi, les utilisateurs ne pourront plus, desormais, 
deposer un fichier d'une taille superieure. Par defaut, cette limite est de 2 Mo. 

Recette 14 : Desactiver les variables globales 
automatiques 

PHP dispose d'une fonctionnalite historique malheureuse qui facilite l'acces 
aux parametres GET et POST. Si, par exemple, il existe un parametre POST 
nomme mon param, PHP peut automatiquement l'extraire et le placer dans un 
variable nommee $mon_param. Malheureusement, il s'agit d'un risque enorme 
pour la securite car vous pouvez ainsi creer n'importe quelle variable globale et, 
si vous oubliez d'en initialiser une, l'utilisateur peut manipuler des parties vulne- 
rables de votre script. 

Pour desactiver cette fonctionnalite, il suffit de mettre a "Off l'option 
register_globals du fichier php.ini de votre serveur : 



register_globals = Off 



Heureusement, cette fonctionnalite est desactivee a partir de la version 4.2 
de PHP. Cependant, il s'agit d'un probleme que vous devez toujours verifier. 

Recette 1 5 : Activer les apostrophes magiques 

Les apostrophes magiques sont un outil pratique, utilise par les serveurs pour 
se proteger contre les attaques par injection SQL (comme on l'explique dans la 
recette n°19, "Attaques par injection SQL"). Les apostrophes magiques transfor- 
ment automatiquement toutes les variables provenant d'un formulaire en pre- 
fixant par un anti-slash toutes les apostrophes simples, les apostrophes doubles et 
les anti-slash qu'elles contiennent :" II l'a dit " devient done \ " II l\'a dit\". 

Si vous utilisez MySQL, vous devriez systematiquement desactiver les apostro- 
phes magiques car elles sont la source de nombreux problemes. II existe des 
fonctions de contournement, comme mysql real escape string ( ) qui permet de 
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proteger les donnees lorsque vous desactivez les apostrophes magiques, mais 
vous devez encore prendre vos precautions afin d'eviter le doublement des anti- 
slash d'echappement. Cependant, faute de mieux, elles feront l'affaire. Voici 
comment les activer dans le fichier php. ini : 



magic_quotes_gpc = 1 



Problemes eventuels 

Si les apostrophes magiques ne sont pas activees, vous devrez utiliser 
mysql real escape string ( ) pour garantir que les donnees ont ete protegees. 
Cependant, l'utilisation de cette fonction sur des donnees de formulaires alors 
que les apostrophes magiques sont egalement activees, provoquera le double- 
ment des anti-slash de protection: \"I1 l\'a dit\" deviendra done \\"I1 
l\\'a dit\\". II vaut done mieux etre coherent car, si vous n'y prenez pas 
garde, les anti-slash risquent de s'accumuler dans les chaines des tables de 
votre base de donnees 1 . 

Recette 1 6 : Restreindre I'acces de PHP aux fichiers 

Si vous avez peur qu'un script PHP malicieux accede aux fichiers de votre sys- 
teme (le fichier des mots de passe, par exemple) , vous pouvez limiter les repertoi- 
res auxquels PHP a acces grace a l'option open basedir. Lorsqu'elle est activee, 
PHP ne peut ouvrir ou manipuler aucun fichier en dehors de ceux qui se trou- 
vent dans les repertoires indiques. Voici un exemple qui limite Faeces au reper- 
toire /home ■/www : 



open_basedir = /home/www 



Vous pouvez indiquer plusieurs repertoires en les separant par un caractere 
deux-points ( : ) sous Unix ou un point-virgule ( ; ) sous Windows. 

NOTE Par defaut, PHP autorise I'acces au repertoire indique, ainsi qu'a tous ses sous-repertoires. 
Si vous souhaitez que seul ce repertoire soit autorise d 'acces, ajoutez une barre de fraction a 
la fin du chemin, /home/www/ par exemple. 

Problemes eventuels 

Lorsqu'un utilisateur depose un fichier, celui-ci est stocke dans un repertoire 
temporaire jusqu'a ce qu'il soit traite par un script. Ce repertoire etant tradition- 
nellement eloigne du reste des fichiers PHP, vous ne devez pas oublier de l'ajouter a 
la liste de open basedir. 



1. NdT : Notez qu'il faut toujours desactiver les apostrophes magiques avec MySQL. 
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Recette 1 7 : Supprimer des fonctions precises 



Supposons que vous ayez decide que la fonction exec(), qui permet a un 
script PHP d'executer directement des commandes sur le serveur, est trop dange- 
reuse. Afin de minimiser les risques de securite, vous pouvez desactiver une fonc- 
tion PHP precise tout en autorisant les autres a fonctionner correctement. Voici 
comment desactiver un certain nombre de fonctions potentiellement dangereuses 
dans le fichier php.ini : 



disable_f unctions = system, exec, passthru, shell_exec, proc_open 



Recette 1 8 : Ajouter des extensions d PHP 

Si vous etes un developpeur serieux, vous finirez peut-etre par atteindre les 
limites d'une installation de base de PHP. Bien que PHP integre une foule de 
fonctionnalites, il ne sait pas, nativement, gerer le chiffrement des donnees, les 
graphiques, les documents XML ni faeces a d'autres pages web. 

Pour accomplir toutes ces operations, PHP passe par un certain nombre 
d' extensions qui utilisent des bibliotheques tierces pour effectuer le veritable travail. 
Nous presentons ici quelques-unes des extensions les plus pratiques. 

cURL 

cURL permet a un serveur PHP d'acceder a d'autres sites web en envoyant 
et recevant des informations au moyen d'un protocole utilisant des URL 
(vous utiliserez le plus souvent HTTP, qui permet d'acceder a d'autres 
pages web et FTP, qui permet de deposer et de telecharger des fichiers) . 
En pratique, cela signifie que vous pouvez faire en sorte que votre serveur 
imite un navigateur web, visite d'autres sites et telecharge leurs pages dans 
une variable de votre choix. 

cURL est un outil essentiel pour tout panier virtuel d'achat en ligne car il 
permet de valider les versements par carte de credit et de fournir en 
direct aux clients les details de livraison. On utilise cURL pour se connec- 
ter et transmettre les donnees de la transaction au serveur d'une autre 
societe ; celui-ci repond en indiquant si le versement a ete accepte, rejete 
et pourquoi. 

Mcrypt 

Pour des raisons de securite, toutes les donnees qui sont placees dans des 
cookies ou des sessions doivent etre chiffrees et, si vous stockez des don- 
nees sensibles comme des numeros de cartes bancaires ou autres informa- 
tions personnelles, vous devez a tout prix vous assurer qu'elles ne peuvent 
pas etre lues par une simple lecture de la base de donnees. Heureuse- 
ment, la bibliotheque Mcrypt permet d'effectuer un chiffrement sophisti- 
que sans savoir quoi que ce soit des techniques de chiffrement ! (Nous 
expliquerons comment l'utiliser a la recette n°23, "Chiffrer les donnees 
avec Mcrypt".) 
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GD 

La bibliotheque GD permet de creer des graphiques a la demande ou 
d'obtenir des informations sur une image. Elle peut creer des fichiers aux 
formats JPEG ou GIF lorsque vous avez besoin de produire des graphiques 
ou de manipuler des images existantes a ces formats pour produire des 
vignettes. 

MySQL 

Une compilation totalement nue de PHP ne sait pas acceder a une base de 
donnees. Heureusement, MySQL et PHP etant unis comme les doigts 
de la main, la plupart des serveurs web qui proposent PHP disposent ega- 
lement des bibliotheques MySQL : c'est la raison pour laquelle la plupart 
des programmeurs ignorent generalement que la fonction mysql connect ( ) 
fait partie d'une extension. 
Parmi les autres extensions de PHP, citons SOAP (qui permet d'acceder aux 
services web), PDF et Verisign Payment Pro. II pourrait sembler interessant 
d'ajouter toutes ses extensions a PHP, mais n'oubliez pas que l'ajout d'une exten- 
sion peut ralendr 1'initialisation et ajouter des failles de securite. En outre, les 
extensions qui ne servent pas souvent ne sont pas aussi bien maintenues que 
les autres et peuvent done ne jamais etre mises ajour. 

Ajouter des extensions PHP 

Voyons maintenant comment installer ces extensions. La premiere etape 
consiste a savoir si l'extension que vous voulez ajouter est deja presente dans 
votre installation. 

Verifier la presence d'une extension 

Generalement, les serveurs web installent par defaut les extensions les plus 
utiles ; avant de vous lancer dans rinstallation d'une extension particuliere, il est 
done preferable de verifier si elle n'est pas deja installee et chargee. 

La methode la plus simple pour effectuer ces tests consiste a utiliser la fonction 
phpinfo() decrite a la recette n°8, "Afficher toutes les options de configurations 
de PHP". Parcourez la page ainsi produite en recherchant votre bibliotheque. 
Si, par exemple, l'extension MySQL est activee, vous verrez une section comme 
celle-ci : 



mysql 

MySQL Support => enabled 



Si cela ne fonctionne pas ou si vous pensez que c'est un peu lent, vous pouvez 
utiliser d'autres methodes. 



Configuration de PHP 33 



Une extension ajoute de nouvelles fonctions a PHP : cURL, par exemple, 
ajoute des fonctions comme cURL_init ( ) et cURL_setopt ( ), Mcrypt ajoute mcrypt_ 
encrypt ( ) et mcrypt decrypt ( ), etc. Supposons que Mcrypt ne soit pas installee : 
en ce cas, PHP ne connait pas la fonction mcrypt decrypt ( ) - pour lui, ce n'est 
rien d'autre qu'une fonction non definie. 

Vous pouvez en tirer parti a l'aide de la fonction PHP f unction exists ( ). 
Essayez par exemple ce script qui detecte la presence de l'extension MySQL : 



<?php 

if (f unction_exists(mysql_connect) ) { 

print 'MySQL est disponible ' ; 
} else { 

print "MySQL n'est pas disponible"; 

} 

?> 



Demander a son hebergeur de charger des extensions 

Si ce n'est pas vous qui hebergez votre serveur web, comme c'est genera- 
lement le cas de nombreuses personnes, vous etes a la merci de l'hebergeur. 
Comme vous n'avez pas d'acces root, vous ne pouvez pas installer vous-meme les 
bibliotheques. En ce cas, vous devez demander aux administrateurs du serveur de 
le faire pour vous. Lorsque vous redigez votre demande, soyez le plus precis pos- 
sible ; sinon, vous risquez de ne pas avoir la bonne version, ni meme l'extension 
que vous souhaitiez. 

Certaines societes le feront gracieusement alors que d'autres vous demande- 
ront de payer pour etre deplace vers un serveur plus elabore, avec plus d'exten- 
sions. D'autres encore vous repondront "Nous ne proposons pas d 'installations 
personnalisees". 

Si vous ne pouvez pas obtenir les extensions dont vous avez besoin, vous 
devrez faire sans ou migrer vers un autre hebergeur. 

NOTE Meme si vous possedez votre propre serveur, il est souvenl plus simple de demander au sup- 
port technique d 'installer les extensions. De cette facon, Us seront capables ( en theorie, du 
moins) de reparer les problemes si quelque chose se passe mal au cours de Vinstallation. 

Installer des extensions avec un panneau de controle web 

Les serveurs loues proposent generalement un panneau de controle permet- 
tant d'effectuer les taches classiques d'un webmestre, comme relancer Apache 
ou redemarrer le serveur, a partir d'un navigateur web. 

Ces panneaux de controle permettent parfois de recompiler automatique- 
ment Apache ou PHP en utilisant des cases a cocher ou des menus deroulants 
pour choisir les extensions a ajouter a PHP. WHM, par exemple, (un panneau 
de controle assez connu, bien qu'un peu bogue) propose "Update Apache", 
qui permet de reinstaller Apache et PHP avec les extensions souhaitees. 
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NOTE Si votre serveur ne dispose pas d 'un panneau de contrdk, vous pouvez generalement demander 
son installation moyennant quelques euros. 



Installer manuellement une extension 

La recompilation de PHP est la methode Unix pour reinstaller PHP en lui 
ajoutant les extensions voulues par la meme occasion. Ceux qui ne connaissent 
pas 1' administration d'Unix risquent done d'etre un peu decontenances par cette 
approche. 

II est preferable de faire des tests sur un serveur Apache local bien distinct 
de celui d'un environnement de production car vous pouvez vraiment endom- 
mager le serveur. Vous devez done vous assurer de pouvoir compter sur un sup- 
port technique en cas de probleme. Si vous ne vous sentez pas competent pour 
cette operation, demandez de l'aide a quelqu'un capable de vous aider. 

Pour qu'une bibliotheque fonctionne avec PHP, il faut franchir deux etapes : 
la premiere consiste a installer les bibliotheques pour les extensions, la seconde a 
faire en sorte que PHP reconnaisse ces extensions. 



Les etapes d'installation d'une extension dependent de la bibliotheque utili- 
see. Nous vous presenterons rapidement ici une methode pour le faire, mais vous 
devez consulter tous les didacticiels disponibles sur la page de telechargement de 
la bibliotheque et lire tous les fichiers README want de faire quoi que ce soit. Si 
vous vous voulez savoir comment tout cela se passe, vous trouverez une explication 
de la compilation des programmes dans le livre de Michael Kofler "Linux' (Pearson, 



Les etapes generales sont les suivantes : 

1. Connectez-vous sur votre serveur sous le compte root ou sous le compte 
d'un utilisateur qui a le droit d'installer de nouveaux programmes. 

2. Telechargez le fichier archive de la bibliotheque dans le repertoire racine 
de votre serveur. Une recherche rapide avec Google sur le nom de la 
bibliotheque et PHP (mcrypt php, par exemple) vous menera genera- 
lement a la page d'accueil de cette bibliotheque, ou vous trouverez les 
fichiers sources qui sont souvent archives et compresses avec tar pour eco- 
nomiser l'espace disque. Les noms de ces fichiers archives sont generalement 
de la forme nomficbiblio.tar.gi. 

3. Extrayez le contenu de Parchive. Une archive tar contient plusieurs 
fichiers et repertoires. Cette archive est elle-meme compressee avec Gzip, 
d'ou son extension .gz finale. Vous pouvez considerer un fichier .tar.gz 
comme un fichier . zip, sauf qu'il a ete cree en deux etapes distinctes, par 
deux programmes differents. 

Cependant, vous n'aurez pas besoin de lancer ces deux programmes puis- 
que GNU tar sait comment lancer l'extracteur. Pour extraire le contenu du 
fichier archive, faites tar zxvf nomf icbiblio . tar.gz a l'invite de com- 
mande. Vous verrez alors defiler la liste des fichiers et des repertoires en 
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cours d'extraction. La plupart de ces archives creent une arborescence 
sous un repertoire racine. 

4. Placez-vous dans le repertoire racine des sources de la bibliotheque en 
lancant cd nomrepertoire. Si vous ne connaissez pas le nom de ce repertoire 
ou que vous ne Favez pas note a l'etape precedente, sachez qu'il porte 
generalement le nom de la bibliotheque - cURL, par exemple (sous Unix, 
les noms des fichiers et des repertoires etant sensibles a la casse, cURL est 
different de CURL) . 

5. Lancez la commande configure pour verifier que tous les ingredients 
necessaires a l'installation sont presents sur la machine. En raison du 
grand nombre de variantes Unix, l'installation d'un logiciel necessite un 
certain savoir-faire ; heureusement, la commande configure se charge de 
l'essentiel du travail en examinant la configuration du serveur et en dedui- 
sant les valeurs correctes pour Finstallation du programme. Tapez . /confi- 
gure a l'invite de commande. 

Certaines extensions necessitent de passer des options a la commande 
configure pour pouvoir fonctionner correctement. Mcrypt, par exemple, 
exige la commande ./configure --disable-nls --disable-posix-threads 
pour garantir la compatibilite avec Apache. Ces options etant specifiques a 
chaque extension, consultez les didacticiels et les fichiers README pour 
savoir si la bibliotheque que vous voulez installer a besoin d'une option 
particuliere. 

6. Compilez et installez le paquetage. Avec Unix, l'utilitaire make permet 
d'effectuer ces deux operations. Lancez d'abord make pour compiler le 
paquetage : vous verrez defiler la liste des commandes qui construisent 
le logiciel a mesure qu'elles sont executees. Puis, faites make check pour 
lancer les tests fournis avec le paquetage (parfois, il peut ne pas y en 
avoir). Enfin, faites make install pour installer l'extension. 

7. Creez un script phpinfo(). Vous pensiez avoir fini ? Desole, mais vous 
venez simplement d'installer l'extension sur votre serveur. Vous devez 
maintenant reinstaller PHP et lui indiquer ou se trouve l'extension et 
comment l'utiliser. 

phpinf o ( ) (voir la recette n°8, "Afficher toutes les options de configuration 
de PHP") vous informe sur la configuration complete du serveur. Aux 
alentours du premier tiers de la premiere page produite par le script, vous 
trouverez une section intitulee Configure Command, qui contient une liste 
assez cryptique, de la forme : 



. /configure ' ' - -wit h - apxs=/ us r/ local /apache/ bin /apxs ' 
--with-xml' ' --enable-bcmath ' ' --enable-calendar ' ' --enable-f tp 1 
--enable-magic-quotes ' ' --with-mysql ' ' --enable-discard-path ' 
--with-pear ' ' --enable-sockets ' ' --enable-track-vars ' 
-- enable- version ing ' ' --with-zlib ' 



36 Chapitre 2 



Si vous voulez reinstaller PHP dans la meme configuration que celle 
actuelle, vous devrez lancer cette commande apres avoir ote les apos- 
trophes autour de la commande configure. Vous obtiendrez done : 



./configure ' - -wit h-apxs=/usr/ local/ apache/ bin /apxs ' ' --with-xml 1 

1 --enable-bcmath ' ' --enable-calendar' ' --enable-ftp 1 

' --enable-magic-quotes ' ' --with-mysql ' ' --enable-discard-path ' 

' --with-pear ' ' --enable-sockets ' ' --enable-track-vars 1 

' -- enable- versioning ' 1 --with-zlib ' 



Si vous ajoutez une extension comme GD, vous ne voudrez pas pour 
autant perdre celles qui sont deja installees. Pour cela, copiez ces informa- 
tions de configuration dans un fichier et ajoutez a la fin les options - -with 
adequates. Si, par exemple, vous voulez ajouter Mcrypt a ce serveur, il suf- 
fit d'ajouter l'option --with-mcrypt a la fin de la commande precedente. 
Pour connaitre l'option --with appropriee, consultez la documentation 
de F extension. 

NOTE Si vous avez ecrase la structure arborescente de ['archive tar et que vous avez place la bibliotlieque 
dans un repertoire autre que celui par defaut, vous devrez ajouter ce chemin avec une option 
--with afin que PHP puisse la trouver. C'est ce qui s 'est passe avec la bibliotlieque apxs (Apache 
Extension Tool Synopsis) dans I' exemple precedent : --with-apxs=lusr/locallapachelbinl 
apxs indique d PHP que apxs se trouve dans le repertoire /usr/hcal/ apache/bin/ apxs. 

8. Recuperez et decompactez une nouvelle distribution source de PHP puis 
allez dans son repertoire. Vous pouvez decompacter le code source de PHP 
exactement comme vous l'avez fait precedemment pour le code source de la 
bibliotheque. Si vous disposez deja d'une arborescence source de PHP, vous 
pouvez l'utiliser a condition de lancer d'abord la commande make clear. 

9. Copiez la commande configure que vous aviez stocke plus haut dans un 
fichier, collez-la sur la ligne de commande et pressez Entree pour l'execu- 
ter. Cela reconfigurera PHP avec la nouvelle bibliotheque en conservant 
les anciennes. 

10. Compilez et installez PHP en lancant les commandes make puis make ins- 
tall. Ces commandes peuvent prendre un certain temps puisqu'elles 
compilent et installent chaque composant de PHP. 

NOTE Si vous avez modifte vos fichiers .ini comme on I'a explique plus haut, Us seront peut-etre 
ecrases par les vakurs par defaut lors de la recompilation de PHP. Par consequent, verifiez 
que vos reglages ont ete preserves. 

11. Relancez Apache en lancant la commande apachectl graceful. 

12. Testez PHP. Essayez d'abord avec un bon vieux script "Hello world!" afin 
de vous assurer que PHP fonctionne sans erreur, puis experimentez quel- 
ques fonctions specifiques a la bibliotheque que vous venez d'installer 
pour verifier qu'elle fonctionne. 
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Problemes eventuels 



II y a tant de problemes qui peuvent survenir au cours de la compilation qu'il 
est presque impossible de tous les enumerer. Bien que de nombreuses erreurs 
soient compliquees et que beaucoup soient specifiques a une bibliotheque, on 
retrouve systematiquement trois problemes classiques. 

Le premier peut survenir si les outils de developpement ne sont pas installes 
sur votre systeme. Vous avez besoin du compilateur C et de nombreuses biblio- 
theques de developpement pour pouvoir compiler un programme. 

Le second est que vous devrez peut-etre configurer PHP avec une option - -with 
associee aun chemin precis : --with-mcrypt=/usr/lib/mcrypt, par exemple. 

Le troisieme probleme peut provenir du fait que vous avez mal configure la 
bibliotheque de l'extension. Comme indique plus haut, vous devez configurer 
Mcrypt avec les options --disable-nls et --disable-posix-threads sous peine de 
poser des problemes a Apache. Les autres bibliotheques peuvent egalement 
necessiter ce type d'ajustement pour fonctionner correctement avec Apache et PHP. 
Consultez les FAQ, les pages de manuel et les fichiers README pour plus de details. 



SECURITE ET PHP 



Si vous developpez des services web, ne negligez 
jamais la securite en ecrivant des programmes. Si 
la plupart des scripts PHP ne tiennent pas compte 
des problemes de securite, c'est essentiellement 
du au fait que ce langage est utilise par un grand 
nombre de programmeurs inexperimentes. 

En ce qui vous concerne, ne prenez pas ce sujet a la legere et mettez en place une 
politique de securite robuste, en examinant minutieusement le role de vos 
scripts. Lorsque vous ajouterez des interets financiers sur votre serveur, il est pro- 
bable que des personnes essaieront de le pirater. Creez un programme de gestion 
de forums ou de panier virtuel et la probability des attaques grandira a coup sur. 
Voici quelques conseils generaux pour la securite. 

Ne faites pas confiance aux formulaires. 

II est tres facile de pirater des formulaires. Bien sur, en utilisant une sim- 
ple astuce en JavaScript, vous pouvez faire en sorte qu'un formulaire 
n'accepte que des nombres compris entre 1 et 5 dans un champ donne. 
Mais si un visiteur desactive JavaScript dans son navigateur ou envoie des 
donnees de formulaire adaptees, votre validation cote client tombe a l'eau. 



Les utilisateurs interagissent essentiellement avec vos scripts au moyen de 
parametres, qui constituent done un risque de securite majeur. La lecon 
qu'il faut en tirer est qu'wra script doit toujours verifier les donnees qui lui sont 
transmises. La section "Strategies de verification", plus loin dans ce chapitre, 
montre comment verifier des donnees discretes. Nous vous montrerons 
comment detecter et comment vous proteger contre les attaques XSS 
{cross-site scripting), qui peuvent detourner les autorisations de vos utilisa- 
teurs a leur profit (voire plus) . Nous verrons egalement comment empe- 
cher les attaques par injection SQL qui peuvent perturber ou supprimer 
vos donnees. 

Ne faites pas confiance aux utilisateurs. 

Supposez que toutes les donnees recues par votre site web sont chargees 
de code malicieux. Nettoyez chaque donnee, meme si vous pensez que 
personne n'attaquerajamais votre site. La paranoia a parfois du bon. 

Desactivez les variables globales automatiques. 

Le plus gros trou de securite consiste a activer l'option de configuration 
register globals. Heureusement, elle est desactivee par defaut a partir de 
la version 4.2 de PHP. Consultez la recette n°14, "Desactiver les variables 
globales automatiques" pour savoir comment faire. 

Les programmeurs debutants considerent les variables globales auto- 
matiques comme un outil tres pratique, sans realiser le danger qu'elles 
representent. Un serveur avec cette option activee affecte automatique- 
ment des variables globales avec n'importe quelle valeur de formulaire. 
Etudions un exemple pour comprendre leur fonctionnement et leur danger. 

Supposons que vous utilisiez un script nomme traitement.php qui stocke 
dans votre base de donnees des utilisateurs les valeurs saisies dans un 
formulaire. Ce formulaire est de la forme : 



<input name="nom_utilisateur" type="text" size="15" maxlength="64 "> 



Lorsqu'il execute traitement.php et que les variables globales automatiques 
sont activees, PHP place automatiquement la valeur de ce parametre dans 
la variable $nom_utilisateur. Cela permet d'economiser un peu de sai- 
sie par rapport a un acces explicite via $_P0ST[ 1 nom utilisateur 1 ] ou 
$_GET[ ' nom utilisateur 1 ]. Malheureusement, cela ouvre egalement une 
breche dans la securite puisque PHP cree une variable pour toute valeur 
envoyee au script par un parametre GET ou POST. Ceci pose un probleme 
manifeste si vous n'initialisez pas explicitement la variable et que vous ne 
souhaitez pas que quiconque puisse la manipuler. 

Etudiez par exemple le script suivant : si la variable $autorise vaut vrai, il 
montre des donnees confidentielles a l'utilisateur. Dans des circonstan- 
ces normales, cette variable ne vaut vrai que si l'utilisateur s'est correcte- 
ment authentifie via une hypothetique fonction authentif ication_ 
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utilisateur( ), mais si les variables globales automatiques sont activees, 
n'importe qui peut envoyer un parametre GET comme autorise=1 pour 
contourner cette protection : 



<?php 

// Definit $autorise = true uniquement si 1 ' utilisateur s'est 
// authentifie. 

if (authentif ication_utilisateur( ) ) { 
Sautorise = true; 

} 

?> 



La morale de cette histoire est que vous devez suivre la procedure de la 
recette n°25, "Recuperer en toute securite les valeurs des formulaires" 
pour acceder aux donnees des formulaires. II pourrait sembler que ce type 
d'attaque n'arrive pas souvent mais l'exploitation des variables globales auto- 
matiques vient en second apres les attaques XSS. En outre, les variables 
globales posent des problemes plus subtils qui peuvent plus tard causer 
des bogues dans votre code. 

Options de configuration recommandees pour la securite 

Plusieurs options de configuration de PHP affectent la securite. Voici celles 
que j 'utilise pour les serveurs en production (le Chapitre 2 explique comment les 
configurer) : 

• register globals a off. Voir la discussion precedente. 

• saf e mode a off. Cette option ne securise absolument rien. 

• error reporting a 0. Lorsqu'elle est activee, cette option affiche le rapport 
d'erreurs dans le navigateur de l'utilisateur. Pour les serveurs en production, 
il est preferable d'inscrire ces messages dans un journal a travers l'option de 
configuration error log (voir la recette n°ll, "Supprimer tous les messages 
d'erreur", au Chapitre 2). Les serveurs de developpement peuvent activer 
cette option s'ils se trouvent derriere un pare-feu. 

• Desactivez les fonctions system(), exec(), passthru(), shell_exec ( ), proc_ 
open ( ) et popen ( ). Voir la recette n°l7, "Supprimer des fonctions precises". 

• open basedir initialisee avec le repertoire /imp (pour pouvoir stocker les infor- 
mations de session) et le repertoire racine du serveur web pour que les scripts 
ne puissent pas acceder a l'exterieur de cette arborescence. 

• expose php a off. Lorsqu'elle est activee, cette option ajoute aux en-tetes d'Apa- 
che une signature PHP qui contient le numero de version de l'interpreteur. 
Pourquoi divulguer cette information ? 

• allow url f open a off. Cette option n'est pas reellement necessaire si vous fai- 
tes attention a la facon dont vous accedez aux fichiers a partir de vos scripts, 
c'est-a-dire si vous verifiez toutes les donnees qui vous sont transmises. 
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• allow url include a off. II n'y a vraiment aucune raison pour acceder a des 
fichiers inclus via HTTP. 

En regie generale, vous ne devez pas faire confiance a un code qui veut utili- 
ser ces fonctionnalites. Faites tout particulierement attention a tout ce qui tente 
d'utiliser une fonction comme system ( ) : un tel code est la plupart du temps une 
source de problemes. 

Ces options de configuration etant desormais correctement initialisers, etu- 
dions quelques attaques specifiques, ainsi que les methodes qui permettront a 
votre serveur de s'en proteger. 

Recette 1 9 : Attaques par injection SQL 

Les requetes que passe PHP aux bases de donnees MySQL etant ecrites en 
SQL, un pirate peut utiliser les parametres de formulaire pour tenter une attaque 
par injection SQL. En inserant des fragments de code SQL malicieux dans ces para- 
metres, ce pirate tentera de penetrer sur votre serveur (ou de le rendre indispo- 
nible) . 

Supposons que la valeur d'un parametre de formulaire soit placee dans 
une variable nominee $produit et que vous avez cree une requete SQL comme 
celle-ci : 



$sql = "select * from inf os_produits where num_produit = ' $produit ' " ; 



Si ce parametre vient directement du formulaire, utilisez les protections pro- 
posees par la base de donnees en passant par des fonctions PHP, comme ici : 



$sql = 'select * from inf os_produits 

where num_produit = '"' . mysql_real_escape_string ($produit) 



Si vous ne le faites pas, un pirate peut glisser ce fragment de code dans le 
parametre du formulaire : 



39'; DROP infos_produits; SELECT 'TRUC 



Le contenu de $sql serait alors : 



select * from inf os_produits where num_produit = '39'; 
DROP infos_produits; SELECT 'TRUC 



En SQL, le point-virgule etant un separateur d'instructions, la base de donnees 
executera done ces trois instructions : 
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select * from inf os_produits where num_produit = '39' 
DROP inf os_produits 
SELECT 'TRUC 



Et votre table a disparu. . . 

Notez que cette syntaxe ne fonctionnerait pas avec PHP et MySQL car la 
fonction mysql query ( ) n'autorise le traitement que d'une seule instruction par 
requete. Cependant, une sous-requete pourrait marcher. 

Pour empecher les attaques par injection SQL, vous devez prendre deux 
mesures : 

• Verifiez toujours tous les parametres. Si vous attendez un nombre, par exemple, 
assurez-vous qu'il s'agit bien d'un nombre. 

• Utilisez toujours la fonction mysql_real_escape_string( ) sur les donnees afin 
de desactiver les apostrophes simples et doubles dans celles-ci. 

NOTE Pour proteger automatiquement toutes les donnees des formulaires, vous pouvez activer les 
apostrophes magiques, comme on l'a explique dans la recette n°15, "Activer les apostrophes 
magiques ". Sachez toutefois que cette option de configuration est fortement deconseillee dans 
les dernieres versions dePHP (http://fr3.php.net/magic_quotes) et que vous devriez privilegier 
des solutions de contournement, comme nous Vavons vu a la recette n °15. 

Vous pouvez eviter plusieurs problemes en limitant les privileges de l'utilisa- 
teur MySQL. Tout compte MySQL peut, en effet, etre limite a un certain type de 
requetes sur les tables selectionnees. Vous pourriez, par exemple, creer un uti- 
lisateur n'ayant que le droit de consul ter les lignes de ces tables. Cependant, ce 
n'est guere utile pour des donnees dynamiques et, en outre, cela n'empechera 
pas faeces a des donnees confidentielles. Un utilisateur ayant acces a des don- 
nees de connexion pourrait, par exemple, injecter du code lui permettant 
d'acceder a un autre compte que celui qui est affecte a la session courante. 

Recette 20 : Empecher les attaques XSS basiques 

XSS signifie cross-site scripting. A la difference de la plupart des attaques, celle- 
ci fonctionne cote client. La forme la plus basique de XSS consiste a placer du 
code JavaScript dans un contenu que Ton soumet via un formulaire afin de voler 
les donnees du cookie d'un utilisateur. La plupart des sites utilisant des cookies et 
des sessions pour identifier leurs visiteurs, ces donnees volees peuvent servir a 
usurper l'identite des utilisateurs, ce qui est assez penible pour un compte classi- 
que et carrement desastreux s'il s'agit d'un compte administrateur. Si votre site 
n'utilise ni cookies, ni identifiants de sessions, vos utilisateurs ne seront pas vulne- 
rables a ce type d'attaque, mais vous devez tout de meme savoir comment elle 
fonctionne. 

A la difference des attaques par injection SQL, les attaques XSS sont difficiles 
a contrer ; d'ailleurs, Yahoo!, eBay, Apple et Microsoft ont tous ete les proies de 
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ces attaques. Bien que XSS ne soit pas lie a PHP, vous pouvez nettoyer les don- 
nees utilisateurs avec PHP afin d'empecher les attaques. Pour ce faire, vous devez 
restreindre et filtrer les donnees qui sont soumises par les utilisateurs. C'est pour 
cette raison que la plupart des sites de forums en ligne n'autorisent pas les balises 
HTML dans les articles et les remplacent par des balises personnalisees comme 
[b] et [linkto]. 

Examinons un script simple, qui illustre comment se premunir contre certai- 
nes de ces attaques. Pour une solution plus complete, il est preferable d'utiliser 
SafeHTML qui sera presente plus loin dans ce chapitre. 



function transf orme_HTML($chaine, Slongueur = null) { 
// Aide a empecher les attaques XSS 

// Supression des espaces inutiles. 
Schaine = trim($chaine) ; 

// Empeche des problemes potentiels avec le codec Unicode. 
Schaine = utf8_decode (Schaine) ; 

// HTMLise les caracteres specifiques a HTML. 
Schaine = htmlentities($chaine, ENT_N0QU0TES) ; 
Schaine = str_replace ( "#" , "#", Schaine); 
Schaine = str_replace( "%" , "%", Schaine); 

Slongueur = intval (Slongueur) ; 
if (Slongueur > 0) { 
Schaine = substr (Schaine , 0, Slongueur); 

} 

return Schaine; 

} 



Cette fonction transforme les caracteres specifiques a HTML par des litte- 
raux HTML. Un navigateur afnchera done le code HTML passe par ce script 
comme du texte sans balise. Considerons, par exemple, cette chaine HTML : 



<STRONG>Texte en gras</STRONG> 



Normalement, ce code HTML devrait s'afneher de la facon suivante : 



Texte en gras 



Mais, modifie par transf orme_HTML( ), il s'afEchera comme la chaine initiale 
car les caracteres des balises sont devenues des entites HTML dans la chaine traitee. 
En effet, la chaine renvoyee ici par la fonction sera : 



&lt ; STRONG&gt ; Texte en gras&lt ; /STRONG&gt ; 
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L'essentiel de cette fonction est l'appel a la fonction htmlentities ( ) qui 
transforme les <, > et & en leurs entites equivalentes, &lt ; , &gt ; et &amp ; . Bien que 
cela regie les attaques les plus classiques, les pirates XSS plus experimentes ont 
plus d'un tour dans leur sac : ils encodent leurs scripts malicieux en hexadecimal 
ou en UTF-8 au lieu de l'ASCII afin de contourner nos filtres. Ils peuvent ainsi 
envoyer le code sous la forme d'une variable GET de l'URL qui indique "C'est 
du code hexadecimal, mais pourriez-vous quand meme l'executer pour moi ?". 
Un exemple hexadecimal a cet aspect : 



<a href = " http : / / host la . php?variable=%22%3e %3c%53%43%52%49%50%54%3e%43 
%6f %64%65%4d%65%63%68%61 %6e%74%3c%2f %53%43%52%49%50%54%3e " > 



Mais, lorsque le navigateur affiche cette information, elle se transforme en : 



<a href="http: //host/a. php?variable="> <SCRIPT>CodeMechant</SCRIPT> 



C'est pour empecher cette astuce que transf orme_HTML( ) ajoute des etapes 
supplementaires pour convertir les symboles # et % en leurs entites correspondan- 
tes, ce qui bloque les attaques hexadecimales. II fait de meme pour convertir les 
donnees encodees en UTF-8. 

Enfin, pour empecher que quelqu'un essaie de surcharger une chaine avec 
une saisie tres longue en esperant casser quelque chose, vous pouvez aj outer un 
parametre $longueur facultatif pour couper la chaine a une longueur maximale 
de votre choix 1 . 

Recette 21 : Utiliser SafeHTML 

Le probleme du script precedent est sa simplicite et le fait qu'il n'autorise 
aucun type de balise. Malheureusement, il y a des centaines de facons pour 
faire passer du JavaScript a travers des filtres et, a moins de supprimer toutes les 
balises HTML des valeurs qui nous sont transmises, il n'y a aucun moyen de 
l'empecher. 

Actuellement, aucun script ne peut done garantir qu'il ne peut pas etre cor- 
rompu par ce type d'attaque, bien que certains soient mieux armes que 
d'autres. Comme nous le verrons plus en detail a la section "Strategies de verifi- 
cation", au Chapitre 4, il existe deux approches pour la securite : les listes blan- 
ches et les listes noires, les premieres etant moins complexes a mettre en ceuvre 
et plus efficaces. 



1. NdR : Mefiez-vous des scripts cles en main qui s'installent en des millions d'exemplaires sur 
des serveurs web. 
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L'une des solutions reposant sur les listes blanches s'appelle SafeHTML, un 
analyseur anti-XSS ecrit par PixelApes. 

SafeHTML est suffisamment malin pour reconnaitre du code HTML correct 
et peut done chasser et supprimer toutes les balises dangereuses. Cette analyse 
est realisee par un autre paquetage, HTMLSax. 

Pour installer et utiliser SafeHTML, suivez les etapes suivantes : 

1. Telechargez la derniere version de SafeHTML. 

2. Placez les fichiers dans un repertoire classes sur votre serveur. Ce reper- 
toire contiendra tous les fichiers necessaires au fonctionnement de Safe- 
HTML et HTMLSax. 

3. Incluez le fichier classe de SafeHTML {safehtml.php) dans votre script. 

4. Creez un objet SafeHTML appele $saf ehtml. 

5. Nettoyezvos donnees avec lamethode $saf ehtml->parse( ). 
Voici un exemple complet : 

<?php 

/* Si vous avez stocke HTMLSax3.php et safehtml.php dans le repertoire 

/classes, definissez XML_HTMLSAX3 comme une chaine vide. */ 
define (XML_HTMLSAX3, 1 1 ) ; 
// Inclusion du fichier classe. 
require_once( ' classes/saf ehtml . php 1 ) ; 
// Creation d'un exemple de code incorrect. 

$donnees = "Ce contenu levera une alerte <script>alert( 'Attaque XSS' )</script>" ; 

// Creation d'un objet safehtml. 

$saf ehtml = new safehtml(); 

// Analyse et nettoyage des donnees. 

$donnees_sures = $safehtml->parse($donnees) ; 

// Affichage du resultat. 

echo 'Les donnees propres sont <br />' . $donnees_sures ; 
?> 



Si vous voulez nettoyer d'autres donnees de votre script, il n'est pas neces- 
saire de creer un nouvel objet. II suffit de reutiliser tout au long du script la 
methode $saf ehtml->parse ( ). 

Problemes eventuels 

L'erreur la plus importante que vous puissiez faire est de supposer que cette 
classe empeche totalement les attaques XSS. SafeHTML est un script assez com- 
plexe qui verifie quasiment tout, mais rien n'est garanti. Vous devrez tout de 
meme effectuer une validation adaptee a vos besoins des donnees qui vous sont 
transmises. Cette classe, par exemple, ne teste pas la longueur d'une variable 
pour verifier qu'elle tiendra dans le champ d'une table. Elle ne vous protege pas 
non plus contre les problemes de debordement de tampon. 
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Les pirates XSS ont de rimagination et utilisent un grand nombre d'appro- 
ches pour tenter d'atteindre leurs objectifs. II suffit de lire le didacticiel XSS 
de RSnake (http://ha.ckers.org/xss.html) pour se rendre compte du nombre de 
facons de faire passer du code a travers les nitres. Le projet SafeHTML regroupe 
de bons programmeurs qui prennent sur leur temps libre pour essayer d'endi- 
guer les attaques XSS et l'approche choisie est liable, mais on ne peut pas etre 
certain qu'un pirate ne trouvera pas une nouvelle technique pour court-circuiter 
ses nitres. 

NOTE La page http://namb.la/popular/tech.html donne un exemple de la puissance des attaques 
XSS en montrant comment creer pas a pas le ver JavaScript qui a surcharge les serveurs de 
MySpace. 

Recette 22 : Proteger les donnees avec un hachage 
non reversible 

Ce script effectue une transformation des donnees dans un seul sens - en 
d'autres termes, il peut creer un hachage d'un mot de passe mais il est impossible 
de revenir au mot de passe initial a partir du hachage. On comprend tout l'inte- 
ret de cette technique pour le stockage des mots de passe : l'administrateur n'a 
pas besoin de connaitre les mots de passe des utilisateurs - il est preferable que 
seul l'utihsateur connaisse le sien. Le systeme (et uniquement lui) devrait pou- 
voir identifier un mot de passe correct : c'est d'ailleurs comme cela que le 
modele des mots de passe Unix fonctionne depuis des annees. La securite des 
mots de passe non reversibles fonctionne de la facon suivante : 

1. Lorsqu'un utilisateur ou un administrateur cree ou modifie un mot de 
passe, le systeme cree un hachage de ce mot de passe et stocke le resultat. 
Le mot de passe en clair est supprime du systeme. 

2. Lorsque l'utihsateur se connecte au systeme, le mot de passe qu'il saisit est 
de nouveau hache. 

3. Le systeme hote supprime le mot de passe en clair qui a ete entre. 

4. Le nouveau mot de passe hache est compare au hachage stocke. 

5. Si les deux hachages concordent, le systeme autorise l'acces. 

Le systeme hote realise toutes ces operations sans meme connaitre le mot 
de passe original ; en realite, sa valeur lui est totalement inutile. Un effet de bord de 
cette technique est qu'un pirate ayant reussi a penetrer le systeme peut voler la 
base de donnees des mots de passe : il disposera alors d'une liste de hachages 
qu'il ne pourra pas utiliser pour retrouver les mots de passe originaux mais, avec 
suffisamment de temps, de puissance de calcul et si les mots de passe ont ete mal 
choisis, il pourra utiliser une attaque par dictionnaire pour les decouvrir. II faut 
done faire en sorte d'empecher Faeces a la base des mots de passe et, si 
quelqu'un y parvient, tous les utilisateurs doivent immediatement changer leurs 
mots de passe. 
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Chiffrement et hachage 

D'un point de vue technique, ce traitement n'est pas un chiffrement mais un hachage, 
ce qui est different pour deux raisons : 

• Contrairement au chiffrement, les donnees ne peuvent pas etre dechiffrees. 

• II est possible (mais tres peu probable) que deux chaTnes differentes produisent le 
meme hachage. II n'y a, en effet, aucune garantie qu'un hachage soit unique : vous ne 
devez done pas utiliser un hachage pour vous en servir de cle dans une base de donnees. 



function hash_ish ($chaine) { 
return md5($chaine) ; 

} 



La fonction md5() renvoie une chaTne hexadecimale de 32 caracteres formee d partir 
de I'algorithme Message-Digest de RSA Data Security Inc. (egalement connu sous le 
nom de MD5). Vous pouvez inserer cette chaTne de 32 caracteres dans une base de 
donnees, la comparer d d'autres chaTnes de 32 caracteres ou simplement admirer 
sa perfection. 

Amelioration du script 

II est virtuellement impossible de dechiffrer des donnees MD5. En tous cas, 
e'est tres difficile. Cependant, vous devez quand meme utiliser de bons mots de 
passe car il est quand meme assez simple de creer une base de donnees de hachage 
pour tout le dictionnaire. II existe d'ailleurs des dictionnaires MD5 en ligne dans 
lesquels vous pouvez entrer la chaine 90a8db953336c8dabbcf48bl592a8c06 et 
obtenir "chien". 

Par consequent, bien que, techniquement, Ton ne puisse pas dechiffrer les 
chaTnes MD5, elles sont quand meme vulnerables - si quelqu'un reussit a recupe- 
rer votre base de donnees des mots de passe, vous pouvez etre sur qu'il utilisera 
un dictionnaire MD5. Lorsque vous creez des systemes avec authentification par 
mot de passe, vous avez done interet a utiliser des mots de passe suffisamment 
longs (au moins six caracteres, mais huit est preferable) et contenant a la fois des 
lettres et des chiffres. Verifiez egalement que ces mots de passe ne figurent pas 
dans un dictionnaire. 

Recette 23 : Chiffrer les donnees avec Mcrypt 

Les hachages MD5 sont parfaits si vous savez que vous n'aurez jamais besoin 
des donnees sous forme lisible. Malheureusement, ce n'est pas toujours le cas : si 
vous stockez des informations bancaires sous forme chiffree, vous devrez les 
dechiffrer a un moment ou a un autre. 

L'une des solutions les plus simples a ce probleme consiste a utiliser le module 
Mcrypt, qui est une extension PHP permettant d'effectuer un chiffrement 
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sophistique de vos donnees. La bibliotheque Mcrypt offre plus de 30 chiffre- 
ments possibles et permet d'utiliser une phrase secrete garantissant que vous seul 
(ou, eventuellement, vos udlisateurs) pourrez dechiffrer les donnees. Pour utili- 
ser ce module, vous devez recompiler PHP pour qu'il le prenne en compte, 
comme on Fa explique a la recette n°18, "Ajouter des extensions a PHP". 

Le script suivant contient des fonctions qui se servent de Mcrypt pour chiffrer 
et dechiffrer les donnees : 



<?php 

$donnees = "Donnees a chiffrer"; 

$cle = "Phrase secrete utilisee par chiffrer pour chiffrer les donnees"; 
$C0de = "MCRYPT_SERPENT_256" ; 
$mode = "MCRYPT_MODE_CBC" ; 

function chiff rer($donnees, $cle, $code, $mode) { 
// Chiff re les donnees 

return (string) 

base64_encode 
( 

mcrypt_encrypt 
( 

$code, 

substr(md5($cle) ,0,mcrypt_get_key_size($code, $mode) ) , 

$donnees, 

$mode, 

substr(md5($cle) ,0,mcrypt_get_block_size($code, $mode) ) 

) 

); 

} 

function dechif f re ($donnees , $cle, $code, $mode) { 
// Dechif f re les donnees 

return (string) 
mcrypt_decrypt 
( 

$code, 

substr(md5(Scle) ,0,mcrypt_get_key_size($code, $mode) ) , 

base64_decode ($donnees) , 

Smode, 

substr(md5(Scle) ,0,mcrypt_get_block_size($code, Smode) ) 

); 

} 

?> 



La fonction mcrypt ( ) a besoin de plusieurs informations : 

• Les donnees a chiffrer. 

• La phrase secrete, egalement appelee cle, pour chiffrer et dechiffrer les donnees. 
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• Le code utilise pour chiffrer les donnees, qui indique l'algorithme de chiffre- 
ment. Ce script utilise MCRYPT SERPENT 256, mais vous pouvez en choisir un 
autre, notamment MCRYPT TW0FISH1 92, MCRYPT RC2, ainsi que MCRYPT_DES ou 
MCRYPT_L0KI97. 

NOTE Pour connaitre les chiffrements disponibles sur votre serveur, utilisez la recette n °8, "Afficher 
toutes les options de configuration de PHP" et recherchez la section "Mcrypt" sur la page 
produite par phpinfo() . Si Mcrypt est disponible, vous verrez deux sections : "Supported 
Cipher" et "Supported Modes". Vous pouvez chiffrer vos donnees en les utilisant exactement 
comme Us sont ecrits. 

• Le mode utilise pour chiffrer les donnees. II existe plusieurs modes, dont 
Electronic Codebook et Cipher Feedback. Ce script utilise MCRYPT_MODE_CBC (Cipher 
Block Chaining) . 

• Un vecteur d'initialisation, egalement appele IV (Initialization Vector) ou 
graine, qui est un ensemble de donnees binaires supplementaires utilisees 
pour initialiser l'algorithme de chiffrement. C'est une mesure supplemen- 
taire pour compliquer un peu plus la decouverte de la valeur chiffree. 

• Les longueurs des chaines de la cle et de IV qui dependent, respectivement, 
du code et du bloc. Ces longueurs sont obtenues grace aux fonctions mcrypt_ 
get_key_size( ) et mcrypt_get_block_size( ). Coupez ensuite la valeur de la 
cle a la bonne longueur avec un appel a substr ( ) (si la cle est plus petite que 
la valeur indiquee, Mcrypt la completera avec des zeros) . 

Si quelqu'un vole vos donnees et votre phrase secrete, il peut se contenter de 
tester tous les codes de chiffrement jusqu'a trouver celui qui fonctionne. C'est la 
raison pour laquelle nous chiffrons egalement la phrase avec la fonction md5() 
avant de l'utiliser : la possession des donnees et de la phrase ne permettra plus au 
pirate d'obtenir les informations qu'il souhaite puisqu'il devra a la fois connaitre 
la fonction, les donnees et la phrase. Si c'est le cas, c'est qu'il a surement deja un 
acces complet a votre serveur et que vous etes de toutes facons mal parti. 

II faut egalement regler un petit probleme lie au format de stockage des don- 
nees. Mcrypt renvoie les donnees chiffrees sous un format binaire qui provoque 
de terribles erreurs lorsque Ton tente de les stocker dans certains champs 
MySQL. C'est la raison pour laquelle on utilise les fonctions base64encode( ) et 
base64decode ( ) pour transformer les donnees sous un format compatible avec 
SQL. 

Amelioration du script 

En plus de tester les differentes methodes de chiffrement, vous pouvez facili- 
ter l'utilisation de ce script en placant, par exemple, la cle et le mode dans des 
constantes globales que vous stockerez dans un fichier inclus (voir la recette n° 1 , 
"Inclure un fichier exterieur dans un script") : cela vous evitera de devoir les 
repeter a chaque fois. 
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Recette 24 : Produire des mots de passe aleatoires 



Les chaines aleatoires (mais difficiles a deviner) jouent un role important 
dans la securite des utilisateurs. Si, par exemple, quelqu'un perd son mot de 
passe alors que Ton utilise des hachages MD5, vous ne pourrez pas le retrouver : en 
ce cas, vous devrez produire un mot de passe aleatoire sufHsamment sur et 
Fenvoyer a cet utilisateur. Une autre application des chaines aleatoires consiste a 
creer des liens d'activation pour Faeces aux services de votre site. Void une fonction 
qui cree un mot de passe : 



<?php 

function cree_mdp($nb_cars) { 
if ( (is_numeric($nb_cars) ) && 
($nb_cars > 0) && 
(! is_null($nb_cars) ) ) { 

$mdp = ' ' ; 

$cars_ok = ' abedefghij klmnopqrstuvwxyzl 234567890 ' ; 

// Initialise le generateur si necessaire. 
srand( ( (int ) ( ( double (microtime ( ) *1 000003) ) ) ; 

for ($i = 0; Si <= $nb_cars; $i++) { 

$nb_aleatoire = rand(0, (strlen($cars_ok) -1)); 
$mdp .= Scars_ok[$nb_aleatoire] ; 

} 

return $mdp; 

} 

} 

?> 



Utilisation du script 

La fonction cree_mdp( ) renvoie une chaine ; tout ce qui vous reste a faire 
consiste a lui fournir la longueur de cette chaine en parametre : 



<?php 

$mdp_de_quinze_caracteres = cree_mdp(15) ; 

?> 



Elle fonctionne de la facon suivante : 

1. Elle s'assure que $nb_cars est un nombre entier positif non nul. 

2. Elle initialise la variable $mdp avec une chaine vide. 

3. Elle initialise la variable Scars ok avec la liste des caracteres admis dans le 
mot de passe. Ce script utilise toutes les minuscules non accentuees et les 
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chiffres de a 9, mais vous pourriez choisir le jeu de caracteres de votre 
choix. 

4. Le generateur de nombres aleatoires ayant besoin d'une graine, on lui 
fournit un ensemble des valeurs pseudo-aleatoires (ce n'est pas vraiment 
necessaire a partir de PHP 4.2). 

5. La fonction effectue $nb_cars iterations, une par caractere du mot de 
passe. 

6. Pour chaque nouveau caractere, le script utilise la longueur de $cars_ok 
pour produire un nombre aleatoire superieur ou egal a et strictement 
inferieur a cette longueur, puis ajoute a $mdp le caractere situe a cet indice 
dans $cars_ok. 

7. A la fin de la boucle, la fonction renvoie $mdp. 



4 

TRAITEMENT DES FORMULAIRES 




Les formulaires sont les moyens par lesquels les 
utilisateurs peuvent communiquer avec vos 
scripts ; pour tirer parti de la puissance de PHP, 
vous devez done maitriser leur fonctionnement. La 
premiere chose que vous devez comprendre est que, 
bien que PHP facilite l'acces aux donnees provenant 
des formulaires, il faut faire attention a la facon dont vous 
traitez ces donnees. 



Mesures de securite : ne faites pas confiance 
aux formulaires 

Les debutants commettent souvent l'erreur de faire confiance aux don- 
nees provenant d'un formulaire HTML. Si un menu deroulant n'autorise l'uti- 
lisateur qu'a choisir une seule parmi trois valeurs, vous devez quand meme la 
verifier. Comme on l'a explique au Chapitre 3, vous ne pouvez pas non plus 
vous fier a JavaScript pour empecher l'envoi de donnees quelconques a votre 
serveur. 



Les visiteurs de votre site peuvent ecrire leurs propres formulaires HTML et 
l'utiliser avec votre serveur ; ils peuvent egalement se passer totalement d'un 
navigateur et utiliser des outils automatises pour interagir avec vos scripts. Lors- 
que vous mettez un script a disposition sur le Web, vous devez supposer que des 
personnes essaieront de jouer avec les parametres pour tenter de decouvrir un 
moyen plus simple d'utiliser votre site (bien qu'ils puissent egalement essayer 
quelque chose de bien moins innocent). 

Pour garantir la securite de votre serveur, vous devez done verifier toutes les 
donnees recues par vos scripts. 

Strategies de verification 

II y a deux approches pour verifier les donnees des formulaires : les listes noires 
et les listes blanches. 

Les listes noires consistent a tenter de supprimer toutes les donnees incor- 
rectes en supposant que les donnees provenant des formulaires sont correctes 
puis en eliminant explicitement les mauvaises. En general, cette technique 
n'est pas efficace. Supposons, par exemple, que vous vouliez eliminer tous les 
"mauvais" caracteres d'une chaine, comme les apostrophes. Vous pourriez 
rechercher et remplacer ces apostrophes, mais le probleme est qu'il y aura tou- 
jours des mauvais caracteres auxquels vous n'avez pas pense. En general, les lis- 
tes noires supposent que les donnees que vous recevez ne sont pas malicieuses. 

En realite, il est preferable de considerer systematiquement que ces donnees 
sont suspectes ; vous pourrez alors les filtrer pour n'accepter que celles qui sont 
correctes : e'est ce qu'on appelle les listes blanches. Si, par exemple, une chaine 
ne doit contenir que des caracteres alphanumeriques, vous pouvez la comparer 
avec une expression reguliere qui correspond a une chaine formee uniquement 
des caracteres A-Za-z0-9. 

Le filtrage par liste blanche peut egalement forcer les donnees a appartenir 
un intervalle connu et modifier le type d'une valeur. Voici un resume de quelques 
tactiques specifiques : 

• Si la valeur doit etre numerique, utilisez la fonction is_numeric() pour le 
verifier. Vous pouvez convertir une valeur en entier avec la fonction 
intval( ). 

• Si la valeur doit etre un tableau, testez-la avec la fonction is array ( ) . 

• Si la valeur doit etre une chaine, testez-la avec la fonction is st ring ( ) . Pour la 
convertir en chaine, utilisez la fonction strval( ). 

• Si la valeur doit etre null, testez-la avec is null ( ) . 

• Si la valeur doit etre definie, testez-la avec isset ( ) . 
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Listes blanches et valeurs entieres 

Voici un exemple classique d'utilisation d'un filtrage par liste blanche pour une valeur 
numerique. Si la donnee n'est pas numerique, on utilise une valeur par defaut de zero 
(cela suppose evidemment que zero soit une valeur acceptable) : 



if (! is_numeric ($donnee) ) { 

// Utilise une valeur par defaut de 
$donnee = 0; 

} 



Pour les entiers, si vous savez que toutes les valeurs entieres sont admises, vous pouvez 
utiliser I'instruction $donnee = intval($donnee) ; pour transtyper $donnee en valeur 
entiere. 



Utiliser $_POST, $_GET, $ REQUEST et $_FILES pour acceder 
aux donnees des formulaires 

La recette n°14 du Chapitre 2, "Desactiver les variables globales automati- 
ques", a montre comment desactiver l'option register globals, qui cree automa- 
tiquement des variables globales a partir des donnees de formulaires. 

Nous allons maintenant expliquer comment utiliser les variables $_P0ST, $_FILES 
et $_GET pour recuperer les donnees de formulaires. 

Recette 25 : Recuperer les donnees des formulaires 
en toute securite 

Vous devriez to uj ours extraire les donnees des formulaires a partir des varia- 
bles predefinies du serveur. Toutes les donnees passees a votre page par un for- 
mulaire utilisant la methode POST sont automatiquement stockees dans un 
tableau nomme $_P0ST ; de meme les donnees des formulaires qui utilisent la 
methode GET sont stockees dans un tableau nomme $_GET. Les informations sur 
les depots de fichiers sont stockees dans un tableau special $_FILES (voir la 
recette n°54, "Deposer des images dans un repertoire"). En outre, il existe egale- 
ment une variable combinee, appelee $_REQUEST. 

Pour acceder a la valeur du champ nom utilisateur d'un formulaire uti- 
lisant la methode POST, il suffit d'ecrire $_P0ST[ ' nom utilisateur 1 ]. Pour 
faire de meme avec un formulaire utilisant la methode GET, on utilisera 
$_GET[ ' nom utilisateur ' ]. Si la methode utilisee par le formulaire ne vous 
interesse pas, vous pouvez acceder a la valeur de ce champ avec $_REQUEST[ 1 nom_ 
utilisateur ']. 
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<?php 



$valeur_post = $_POST[ 1 champ_post ' ] ; 
$valeur_get = S_GET[ 1 champ_get ' ] ; 
$une_valeur = $_REQUEST[ 1 un_champ ' ] ; 

?> 



$_REQUEST est l'union des tableaux $_GET, $_P0ST et $_C00KIE. Si vous avez plu- 
sieurs parametres de meme nom il faut savoir que, par defaut, PHP renvoie 
d'abord le cookie, puis le parametre POST et enfin le parametre GET. 

La securite de $_REQUEST a donne lieu a des debats qui n'ont pas lieu d'etre : 
toutes ses sources venant du monde exterieur (le navigateur de l'utilisateur) , 
vous devez de toutes facons verifier toutes les donnees que vous comptez udliser 
dans ce tableau, exactement comme vous le feriez avec les autres tableaux prede- 
finis. Les seuls problemes que vous pourriez rencontrer sont des bogues 
ennuyeux susceptibles d'apparaitre a cause des cookies qu'il contient. 

Recette 26 : Supprimer les espaces inutiles 

Les espaces inutiles sont toujours un probleme lorsque Ton manipule les 
donnees des formulaires. Generalement, la fonction trim( ) est le premier outil 
vers lequel se tourne le programmeur car elle permet de supprimer les espaces 
inutiles au debut ou a la fin d'une chaine. " Le langage PHP " devient ainsi 
"Le langage PHP". En fait, cette foncdon est si pradque que vous l'utiliserez sur 
quasiment toutes les donnees saisies par l'udlisateur, sauf les tableaux : 



$saisie = trim($saisie) ; 



Parfois, les espaces inutiles peuvent se trouver au milieu de la chaine - l'utili- 
sateur a pu copier et coller un contenu de courrier electronique, par exemple. 
En ce cas, vous pouvez remplacer les suites d'espaces et les autres caracteres 
d'espacement par une espace unique a l'aide de la fonction preg_replace( ) . 
Le terme reg indique que cette foncdon utilise les expressions regulieres, une forme 
tres puissante de recherche par motif que vous rencontrerez plusieurs fois dans 
ce chapitre. 



<?php 

function suppr_espaces($chaine) { 
$chaine = preg_replace ( ' / \s+/ ' , ' ', $chaine); 
Schaine = trim(Schaine) ; 
return Schaine; 

} 

?> 
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Ce script vous servira en de maintes occasions, meme en dehors de la verifi- 
cation des formulaires, car il permet de nettoyer les donnees provenant d'autres 
sources externes. 

Recette 27 : Importer des donnees de formulaire 
dans un tableau 

L'une des astuces les plus pratiques que vous pouvez utiliser en PHP n'est en 
realite pas une astuce PHP mais une astuce HTML. Lorsqu'un utilisateur remplit 
un formulaire, on verifie souvent les valeurs de plusieurs cases a cocher. Suppo- 
sons, par exemple, que vous fassiez une enquete sur les types de films que regar- 
dent les visiteurs de votre site et que vous voulez inserer automatiquement ces 
valeurs dans une base de donnees appelee preferences_clients. La methode brutale 
consiste a donner un nom distinct a chaque case du formulaire, comme ici : 



<p>Quel genre de film regardez-vous ?</p> 

<input type="checkbox" name="action" value="oui"> Action 

<input type="checkbox" name="drame" value="oui"> Drame 

<input type="checkbox" name="comedie" value="oui"> Comedie 

<input type="checkbox" name="sf iction" value="oui"> Science-fiction 



Malheureusement, lorsque vous traiterez ce formulaire sur la page suivante, 
vous devrez utiliser une suite de tests if /then pour verifier les donnees - un test 
pour la valeur de $action, un autre pour la valeur de Sdrame, etc. L'ajout d'une 
nouvelle case dans le formulaire implique d'ajouter un nouveau test if /then a la 
page qui le traite. 

Le meilleur moyen de simplifier ce traitement consiste a stocker toutes les 
valeurs des cases dans un meme tableau en ajoutant [] apres le nom, comme ici : 



<form action="traitement . php" method="post"> 
<p>Comment vous appelez-vous ?</p> 
<p><input type="text" name="nom_client"></p> 

<p>Quel genre de film regardez-vous ?</p> 

<p><input type="checkbox" name="genre_f ilm[ ] " value="action"> Action 

<input type="checkbox" name="genre_f ilm[ ] " value="drame"> Drame 

<input type="checkbox" name="genre_f ilm[ ] " value="comedie"> Comedie 

<input type="checkbox" name="genre_f ilm[ ] " value="sf iction"> Science-f iction</p> 

<input type="submit"> 

</f orm> 



Lorsque PHP recupere les donnees d'un formulaire comme celui-ci, il stocke 
les valeurs des cases a cocher dans un unique tableau que vous pouvez ensuite 
parcourir de la facon suivante : 
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<?php 

$genre_film = $_POST[ "genre_f ilm" ] ; 
$nom_client = strval ($_POST[ "nom_client" ] ) ; 

if (is_array($genre_f ilm) ) { 
foreach ($genre_film as $genre) { 

print "$nom_client regarde des films du genre $genre.<br>" ; 

} 

} 

?> 



Cette technique ne fonctionne pas qu'avec les cases a cocher ; elle est extre- 
mement pratique a chaque fois qu'il faut traiter un nombre quelconque de 
lignes. Supposons, par exemple, un menu ou nous voulons montrer tous les arti- 
cles d'une categorie donnee. Bien que Ton ne sache pas le nombre d'articles 
d'une categorie, le client devrait pouvoir entrer une quantite dans un champ de 
saisie pour chaque article qu'il veut acheter et ajouter tous les articles d'un simple 
clic. Ce menu ressemblerait a celui de la Figure 4.1 . 



Comment vous appclcz-vous ? 

Quel genre de film rcgardcz-vous ? 

□ Action □ Dramc □ Comcdic □ Science-fiction 

f Soumettre ) 



Figure 4. 1 : Un formulaire avec un tableau de cases a cocher 

Pour construire ce formulaire, nous avons besoin d'acceder aux noms et 
aux numeros de produit dans la table MySQL inf os produits decrite en 
annexe : 



<?php 

/* Inserer ici le code pour se connecter a $db. */ 
$categorie = "chaussures" ; 

/* Obtention des produits a partir de la base. */ 
$sql = "SELECT nom_produit, num_produit 

FROM inf os_produits 

WHERE categorie = ' $categorie ' " ; 

$resultat = @mysql_query($sql, $db) or die; 
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/* Initialise les variables. */ 

$commande = ""; /* Contiendra les donnees du formulaire */ 
$i = 1 ; 

print '<form action="ajoutpanier.php" method="post"> 1 ; 

while (Sligne = mysql_f etch_array($resultat) ) { 
// Parcourt le resultat de la requete SQL. 
$nom_produit = stripslashes ($row[ ' nom_produit ' ] ) ; 
$num_produit = $row[ 1 num_produit ' ] ; 

// Ajoute la ligne au formulaire. 

print "<input type=\ "hidden\ " name=\ "num_produit [$i] \ " 

value=\ "$num_produit\ ">" ; 
print "<input type=\ "text\ " name=\ "quantite[$i] \ " 

size=\"2\" value=\"0\"> $nom_produit<br />"; 

$i++; 

} 

print '<input type="submit" value="Ajouter au panier"x/form>' ; 
?> 



Pour traiter ce formulaire, vous devez examiner les deux tableaux passes 
au script de traitement - l'un contient tous les numeros de produit (Snum pro- 
duit) et l'autre les valeurs des champs de saisie pour les quantites respectives 
(Squantite). Peu importe le nombre d'articles qui sont affiches sur la page : 
$num_produit[123] contient le numero de produit du 123 e article affiche et 
$quantite[123] le nombre que le client a entre dans le champ de saisie corres- 
pondant. 

Le script de traitement ajoutpanier.php est le suivant : 



<?php 

$num_produit = $_P0ST[ "num_produit" ] ; 
$quantite = S_P0ST[ "quantite" ] ; 

if (is_array($quantite) ) { 
foreach ($quantite as Sole => Sqte_article) { 
$qte_article = intval ($qte_article) ; 
if ($qte_article > 0) { 
$num = $num_produit[$cle] ; 

print "Ajout de $qte_article articles du produit $num.<br>" ; 

} 

} 

} 

?> 
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Comme vous pouvez le constater, ce script depend entierement de l'utilisa- 
tion de l'indice du tableau Squantite (la variable $cle) pour le tableau $num_ 
produit. 

Recette 28 : S'assurer qu'une reponse fait partie 
d'un ensemble de valeurs 

Comme on l'a deja precise, il ne faut jamais supposer que les donnees trans- 
mises par un formulaire sont sures. Etudiez par exemple ce fragment de formu- 
laire : 



<SELECT NAME="type_carte"> 
<0PTI0N value="visa">Visa</OPTION> 
<0PTI0N value="amex">American Express</0PTI0N> 
<0PTI0N value=" mastercard ">MasterCard</OPTION> 

</SELECT> 



Comment etre sur que la donnee que vous recevrez sera vraiment visa, amex 
ou mastercard ? C'est assez simple : il suffit d'utiliser les valeurs possibles comme 
cles d'un tableau et verifier que la valeur recue est bien une cle de ce tableau. 
Voici un exemple : 



<?php 

$cartes_credit = array( 
"amex" => true, 
"visa" => true, 
"mastercard" => true, 

); 

$type_carte = S_P0ST[ "type_carte" ] ; 
if ($cartes_credit[$type_carte] ) { 

print "$type_carte est une carte de credit autorisee."; 
} else { 

print "$type_carte n'est pas une carte de credit autorisee."; 

} 

?> 



Amelioration du script 

L'avantage de cette methode de stockage est que vous pouvez temporaire- 
ment desactiver un choix en mettant a false la valeur qui correspond a sa cle. 
Vous pouvez aussi legerement modifier le script pour qu'il fournisse a la fois 
les valeurs et les textes qui leur sont associes : il suffit de placer ces textes dans les 
valeurs du tableau afin, par exemple, d'afHcher American Express quand Futilisateur 
a choisi amex. 
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Voici un exemple qui utilise cette technique 



<?php 

$cartes_credit = array( 

"amex" => "American Express", 
"visa" => "Visa", 
"mastercard" => "MasterCard", 

); 

$type_carte = S_P0ST[ "type_carte" ] ; 

if (count ($cartes_credit[$type_carte] ) > 0) { 

print "Type de paiement choisi : Scartes_credit[Stype_carte] . " ; 
} else { 

print "Type de carte non autorise."; 

} 

?> 



NOTE L'exemple precedent est une information extremement utile qui merite d'etre stockee dans un 
fichier de configuration central. 

Recette 29 : Utiliser plusieurs boutons de validation 

Vous pouvez parfois avoir besoin d'un formulaire qui effectue deux traite- 
ments distincts en fonction du bouton sur lequel l'utilisateur a clique - un bou- 
ton peut permettre de modifier un article poste dans un forum alors qu'un autre 
permettra de le supprimer, par exemple. Vous pourriez placer deux formulaires 
dans la meme page afin de renvoyer l'utilisateur vers deux pages distinctes en 
fonction de son choix, mais vous devrez alors mettre des informations redondantes 
dans ces deux formulaires et ce serait insupportable pour l'utilisateur. 

En HTML, les boutons aussi ont des valeurs que vous pouvez consulter. II faut 
done construire le formulaire de cette facon : 



<form action="traitement.php" method="post"> 

<input name="num_article" type="hidden" value="1234"> 
<input name="action" type="submit" value="Modif ier"> 
<input name="action" type="submit" value="Supprimer"> 

</f orm> 



Dans traitement.php, il sufHt ensuite de lire $_P0ST[ ' action ' ] pour savoir quel 
est le bouton qui a ete clique par l'utilisateur et agir en consequence. 

Recette 30 : Verifier la validite d'une carte de credit 

Voici un bref resume du fonctionnement du paiement en ligne par carte de 
credit. Vous devez d'abord trouver un fournisseur de services en ligne (Autho- 
rize.net ou Secpay.com, par exemple) pour vous creer un compte marchand. 
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Ce compte ressemble a un compte bancaire, sauf qu'il vous permet d'effectuer 
des prelevements sur les cartes de credit. Generalement, le fournisseur prend un 
pourcentage sur chaque transaction effectuee. 

Si vous avez une boutique reelle qui accepte le paiement par carte de credit, 
vous utilisez surement deja une solution marchande, mais toutes ne proposent 
pas les transactions en ligne. Celles qui le font vous donnent acces a une passe- 
relle de paiement, c'est-a-dire un serveur securise prenant en charge le traite- 
ment des paiements par carte de credit. Generalement, ces transactions ont lieu 
via un flux XML : vous pouvez done utiliser cURL pour echanger ces donnees 
XML avec la passerelle de paiement (voir le Chapitre 1 1 pour plus de details) . 

Cependant, vous pouvez effectuer quelques etapes de verification de formu- 
laire avant de vous connecter a la passerelle de paiement : si l'utilisateur s'est 
trompe dans son numero de carte, cela permettra d'economiser une transaction, 
done des frais et cela accelerera egalement le traitement. En fait, vous pouvez eli- 
miner les mauvais numeros de carte a l'aide d'un algorithme assez simple ; il est 
meme possible de trouver le type d'une carte de credit a partir de son numero. 
N'oubliez pas, cependant, que la reussite de ces tests ne garantit pas que la carte 
n'a pas ete volee, annulee ou qu'elle n'appartient pas a une autre personne. 



<?php 

function verif ie_num_cc (Snum_cc) { 

/* Renvoie le type de la carte si son numero est correct */ 
$faux = false; 
$type_carte = " " ; 
$regex_cartes = array( 

"/"4\d{12}(\d\d\d){0,1}$/" => "visa", 

'V5[12345]\d{14}$/" => "mastercard", 

"/"3[47]\d{13}$/" => "amex", 

"r6011\d{12}$/" => "discover", 

, 7"30[012345]\d{11}$/" => "diners", 

"/"3[68]\d{12}$/" => "diners", 

); 

foreach ($regex_cartes as $regex => $type) { 
if (preg_match($regex, $num_cc)) { 
$type_carte = $type; 
break; 

} 

} 

if ( !$type_carte) { 
return Sfaux; 

} 

/* Algorithme de somme de controle modulo 10 */ 
$code_inverse = strrev($num_cc) ; 
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Schecksum = 0; 



for ($i = 0; $i < strlen ($code_inverse) ; $i++) { 
$num_courant = intval ($revcode [$i] ) ; 
if (Si & 1) { /* Position impaire */ 
$num_courant *= 2; 

} 

/* Separe les chiffres et les additionne . */ 
Schecksum += $num_courant % 10; 
if ($num_courant > 9) { 
$checksum += 1 ; 

} 

} 

if ($checksum % 10 == 0) { 

return $type_carte; 
} else { 

return $faux; 

} 

} 

?> 



Cette fonction se decompose en deux parties. La premiere trouve le type de 
la carte et la seconde determine si sa somme de controle est correcte. Si la carte 
reussit ces deux tests, la fonction renvoie son numero sous forme de chaine. Dans 
le cas contraire, elle renvoie false (vous pouvez changer cette valeur en modifiant 
le contenu de la variable $faux). 

Dans la premiere partie, on utilise une astuce permettant de determiner le 
type de la carte et de confirmer son prefixe en une seule etape. En effet, les 
numeros des cartes bancaires respectent un certain format : tous les numeros de 
cartes Visa, par exemple, commencent par le chiffre 4 et sont formes de 13 ou 
de 16 chiffres ; les numeros MasterCard commencent par les nombres 51 a 55 
et ont 16 chiffres et les numeros American Express commencent par 34 ou 37 et 
ont 15 chiffres. Ces regies s'expriment aisement par quelques expressions regu- 
lieres ; ces regies etant disjointes, nous pouvons faire correspondre ces expres- 
sions a leurs types de cartes respectifs dans le tableau $regex_cartes. Pour verifier 
un format de numero, il suffit de parcourir les expressions regulieres jusqu'a en 
trouver une qui correspond. En ce cas, on initialise Stype carte et on passe a 
l'etape suivante. Si aucune expression ne convient, on sort de la fonction en 
renvoyant une valeur indiquant cet echec. 

Le test de la somme de controle d'un numero de carte utilise un algorithme 
modulo 10, qui est relativement simple a ecrire et qui effectue le traitement 
suivant : 

• II commence avec une somme de controle egale a 0. 

• II parcourt de droite a gauche tous les chiffres du numero de carte. 



Traitement des formulaires 63 



• Si le chiffre courant est a un indice impair (Findice du chiffre le plus a droite 
est 0) , ce chiffre est multiplie par 2. Si le resultat est superieur a 9, on addi- 
tionne les deux chiffres qui le composent et on ajoute cette somme a la 
somme de controle (si un 8 devient 16, par exemple, on additionne 1 et 6 et 
Ton obtient 7). Sinon, le chiffre courant (double s'il est a un indice impair) 
est simplement ajoute a la somme de controle. 

• Apres le parcours de tous les chiffres, la somme de controle finale doit etre 
divisible par 10 ; sinon, le numero etait incorrect. 

Cet algorithme peut etre code de plusieurs facons ; nous avons privilegie ici 
la compacite et la lisibilite. 

Utilisation du script 

II suffit de fournir a la fonction verif ie_num_cc( ) une chaine contenant un 
numero de code et de tester sa valeur de retour. La seule precaution a prendre 
consiste a verifier que cette chaine ne contient que des chiffres ; pour cela, vous 
pouvez utiliser preg_replace( )avant d'appeler la fonction. Voici un fragment de 
code qui appelle la fonction pour tester plusieurs numeros de carte : 



$nums = array( 

"3721 0000 0000 000" , 
"340000000000009" , 
"5500 0000 0000 0004" , 
"4111 1111 1111 1111", 
"4222 2222 22222", 
"4007000000027" , 
"30000000000004" , 
"601 1000000000004" , 

); 

foreach ($nums as $num) { 

/* Supprime tous les caracteres non numeriques du numero de carte */ 
$num = preg_replace( ' / [ "0-9] / ' , "", Snum); 

$t = verif ie_num_cc($num) ; 
if ($t) { 

print "$num est correct (type : $t).\n"; 
} else { 

print "$num est incorrect . \n " ; 

} 



Amelioration du script 

Si vous connaissez le format de leurs numeros, vous pouvez aj outer les autres 
cartes de credits connues. La page http://www.sitepoint.com/print/card-valida- 
tion-class-php contient une foule d'informations utiles sur les cartes de credit, de 
meme que le site http://www.phpsources.org/scripts407-PHP.htm qui propose 
un script permettant de verifier les numeros SIRET. 
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Recette 31: Verifier la date d'expiration d'une carte 
de credit 

Lorsque vous acceptez une carte de credit, vous devez savoir si elle a expire. 
Pour cela, le plus simple consiste a aj outer a votre code HTML un menu derou- 
lant permettant aux utilisateurs de choisir la date d'expiration, ann d'eviter les 
ambiguites dans les formats des dates : 



<select name="mois cc"> 



<option 


value= 


"01 


1 >01 


Janvier</option> 


<option 


value= 


"02 


1 >02 


Fevrier</option> 


<option 


value= 


"03 


1 >03 


Mars</option> 


<option 


value= 


"04 


1 >04 


Avril</option> 


<option 


value= 


"05 


1 >05 


Mai</option> 


<option 


value= 


"06 


1 >06 


Juin</option> 


<option 


value= 


"07 


1 >07 


Juillet</option> 


<option 


value= 


"08 


1 >08 


Aout</option> 


<option 


value= 


"09 


1 >09 


Sept embre</ opt ion> 


<option 


value= 


"10 


1 >10 


Octobre</option> 


<option 


value= 


"11 


' >11 


Novembre</option> 


<option 


value= 


"12 


1 >12 


Decembre</option> 



</select> 



<select name="annee_cc"> 
<?php 

/* Cree les options pour les dix annees a partir de l'annee en cours */ 

$a = intval(date("Y")); 

for ($i = $a; Si <= $a + 10; Si++) { 

print "<option value=\ "$i\ ">Si</option>\n " ; 

} 

?> 

</select> 



Vous disposez maintenant d'un formulaire permettant d'indiquer la date 
d'expiration ; il vous reste a verifier les donnees qu'il envoie : 



<?php 

function verif_date_exp($mois, $annee) { 

/* Valeur de minuit pour le jour suivant le mois d'expiration */ 
Sexpiration = mktime(0, 0, 0, $mois +1, 1, Sannee); 

Smaintenant = time(); 

/* On ne tient pas compte des dates dans plus de 10 ans. */ 
$max = Smaintenant + (10 * 365 * 24 * 60 * 60); 

if (Sexpiration > Smaintenant && Sexpiration < $max) { 
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return true; 
} else { 
return false; 

} 

?> 



Pour verifier la date d'expiration d'une carte de credit, il suffit de s'assurer 
que la date est situee entre la date courante et une certaine date future (cette 
foncdon utilise 10 ans) . Les meilleurs outils pour ce traitement sont decrits au le 
Chapitre 6 ; nous ne ferons done que passer rapidement ce traitement en revue. 

La seule astuce a connaitre est que la carte cesse d'etre utilisable apres le der- 
nier jour du mois d'expiration : si une carte expire en 06/2009, elle cessera en 
fait de foncdonner le l er juillet 2009. Nous devons done ajouter un mois a la date 
indiquee. Cette operation peut etre delicate car elle peut egalement faire passer 
a l'annee suivante ; comme vous le verrez au Chapitre 6, la foncdon mktime ( ) que 
nous utilisons ici pour calculer automadquement la date d'expiradon sait gerer les 
numeros de mois qui sont superieurs a 12. Apres avoir calcule cette date, vous avez 
simplement besoin de la date courante et de la date limite. Ensuite, la verification 
de la date d'expiration se ramene a deux comparaisons simples : 

Utilisation du script 



if (verif_date_exp($mois_cc, Sannee_cc)) { 
// Accepte la carte. 

} else { 

// La carte n'est plus valable. 

} 



Recette 32 : Verifier la validite des adresses de courrier 
electronique 

Les clients entrent toutes sortes d'adresses electroniques fantaisistes dans les 
formulaires. Le script de cette secdon verifie qu'une adresse e-mail respecte le 
plus possible les regies enoncees dans la RFC 2822. II n'empechera personne 
d'entrer une adresse fausse (mais conforme) comme bidon@inexistant.com, mais il 
pourra au moins detecter quelques erreurs de saisie. 

NOTE Si le fait aV avoir une adresse e-mail valide est essentiel, vous devez faire en sorte que les comptes 
utilisateurs ne soient actives que par des liens envoyes par courrier electronique, comme on I 'expli- 
que dans la recette n °65, " Verifier les comptes utilisateurs avec le courrier electronique ". C'est 
une mesure plutot extreme ; si vous souhaitez que plus de personnes partagent leurs adresses 
avec vous, indiquez-leur simplement que vous ne les spammerez pas ( et respectez cette promesse). 
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<?php 



function adresse_ok ($mel) { 

// Verifie le format de l'adresse mel 

if (! preg_match( 1 /" [A-Za-z0-9!#$%&\ 1 *+-/=?'_'{ | }-] +@[A-Za-z0-9- ]+(\ . [AZa-z0-9- 
]+)+[A-Za-z]$/' , $mel)) { 

return false; 
} else { 

return true; 

} 

} 

?> 



Ce script utilise une expression reguliere pour tester si l'adresse e-mail indi- 
quee utilise des caracteres autorises (lettres, points, tirets, barres de fraction, 
etc.) avec un symbole @ au milieu et au moins un point avant la fin. La recette 
n°39, "Expressions regulieres" vous en apprendra plus sur le sujet. 

Recette 33 : Tester la validite des numeros de telephone 

Comme pour les adresses e-mail, il n'existe aucun moyen de s'assurer qu'un 
numero de telephone est correct, a moins d'appeler ce numero. Vous pouvez 
neanmoins tester le nombre de chiffres et les mettre dans un format standard. La 
fonction suivante renvoie un numero de telephone de 10 chiffres si la chaine qui 
lui est passee contient des caracteres numeriques et commence par '0' ou si elle 
commence par '+33' suivi de 9 caracteres numeriques. Si le nombre fourni ne 
correspond pas, la fonction renvoie false. 



<?php 

function tel_ok ($num_tel) { 
Sinter = ($num_tel[0] == '+'); 
$num_tel = preg_replace( 7 ["\d]+/ ' , ", $num_tel); 
$nb_chiffres = strlen ($num_tel) ; 

if ($inter && $nb_chiffres == 11 && substr ($num_tel, 0, 2) == "33") { 

return "0" . substr($num_tel, 2); 
} else if ($nb_chiff res == 10 && $num_tel[0] == "0") { 

return $num_tel; 
} else { 

return false; 

} 

} 

?> 



Ce script montre la puissance des expressions regulieres combinees aux fonc- 
tions standard sur les chaines. La cle consiste a supprimer tous les caracteres qui 
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ne sont pas des chiffres - une operation faite pour preg replace ( ). Lorsque vous 
etes sur qu'il ne reste plus que des chiffres dans la chaine, il suffit simplement 
d'examiner sa longueur pour connaitre le nombre de chiffres et le reste vient 
quasiment tout seul. 
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5 

TRAITEMENT DU TEXTE ET DE HTML 




Savoir comment retrouver, transformer et suppri- 
mer des mots est essentiel pour tout webmestre. 
Certaines fonctions de ce chapitre sont assez sim- 
ples, mais nous les mentionnerons malgre tout pour 
memoire. Les fonctions plus complexes utilisent des 
expressions regulieres, une partie puissante de PHP que 
chaque webmestre doit savoir manipuler. Commencons par 
quelques operations elementaires sur les chaines. 

Recette 34 : Extraire une partie d'une chatne 

Imaginez que vous soyez a la tete d'une boutique en ligne vendant des cartes 
de collection. Lorsqu'ils achetent un lot de cartes, vos clients sont susceptibles 
d'effectuer des recherches au pluriel — Chateaux au lieu de Chateau, par exemple. 
Cela posait des problemes a notre systeme de recherche car une requete utilisant 
Chdteauxne renvoyait aucun resultat. Pour resoudre ce probleme, j'ai utilise quel- 
ques fonctions de manipulation des chaines pour analyser la fin de la requete de 
l'utilisateur et supprimer les occurrences de la lettre x. Passons ces fonctions en 
revue. 



La fonction substr ( ) permet d'extraire la partie de la chaine que vous utilise- 
rez lors des comparaisons et des autres operations. Si, par exemple, la derniere 
lettre de la chaine est le caractere x, vous pouvez le supprimer et reessayer si la 
requete initiale n'a renvoye aucun resultat 

L'appel de substr ( ) est de la forme : 



substr(chaine, debut, nbre) 



chaine est la chaine initiale, debut est l'indice de debut de l'extraction et nbre 
est le nombre de caracteres a extraire. Le premier indice d'une chaine vaut 0. Le 
code suivant, par exemple, affiche cde, les trois caracteres a partir de l'indice 2 : 



echo substr( 1 abcdef ' , 2, 3); 



NOTE Pour calculer un indice pour substr (), vous aurez peut-etre besoin de connaitre la longueur 
de la chaine. Pour cela, utilisez la fonction strlen(chaine) . 

Si vous omettez le dernier parametre de substr(), l'appel renverra tous les 
caracteres de la chaine a partir de l'indice de depart (debut) jusqu'a la fin de la 
chaine. L' exemple suivant affiche tous les caracteres d'une chaine a partir de 
l'indice 2 : 



echo substr( 1 abcdef ' , 2); // cdef 



En outre, si debut est negatif, substr( ) (et de nombreuses autres fonctions sur 
les chaines) commencera a compter a partir de la fin de la chaine, comme dans 
cet exemple qui affiche les deux avant-derniers caracteres d'une chaine : 



echo substr( 1 abcdef ' , -3, 2); // de 



Lorsque vous connaissez la sous-chaine qui vous inter esse, vous pouvez mani- 
puler la chaine de differentes facons : 

• Reaffecter line partie donnee de la chaine en utilisant substr ( ) pour suppri- 
mer les caracteres inutiles. $chaine = substr($chaine, 0, 10) ; initialise, par 
exemple, $chaine avec les 10 premiers caracteres de sa valeur initiale. 

• Supprimer les N derniers caracteres en recourant conjointement aux fonc- 
tions substr () et strlen(). $chaine = substr($chaine, 0, strlen(Schaine) - 3); 
initialise, par exemple, $chaine avec sa valeur initiale, sauf les trois derniers. 

• Remplacer les caracteres avec la fonction substr replace ( ), qui permet de 
remplacer une sous-chaine par une autre de votre choix. substr_ 
replace ( ' abcdef ' , ' bbb ' , 1 , 2), par exemple, renvoie abbbdef. 

Pour comprendre comment utiliser des sous-chaines dans votre travail quoti- 
dien, revenons a l'exemple des chateaux. Rappelez-vous que les utilisateurs 
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peuvent rechercher Chateaux, mais qu'un article peut etre decrit par Chateau. 
Ce fragment de code montre un moyen de gerer cette situation : 



$sql = "SELECT * FROM inf os_produits WHERE nom_produit = 'Ssaisie'" 
$resultat = @mysql_query($sql, $connexion); 

if (mysql_num_rows($resultat) == 0) { 

// Aucune ligne dans 1' ensemble resultat (pas de produit trouve). 
if (substr($saisie, -1) == x 1 ] { 

// Le dernier caractere de la chaine est un "x". 

// Supprime le dernier caractere de la chaine (le x) . 

$saisie = substr_replace(Ssaisie, '', -1); 

// Cree une autre requete SQL avec la nouvelle chaine. 

$sql = "SELECT * FROM inf os_produits WHERE nom_produit = 'Ssaisie'"; 

$resultat = @mysql_query($sql, Sconnexion); 

} 

} 



Cet algorithme recherche d'abord la chaine Ssaisie dans Finventaire des 
articles. Si aucun article n'est trouve et que le dernier caractere de Ssaisie est un 
x, il reessaie la requete sans le x. Quel que soit le dernier caractere, vous pouvez 
examiner le resultat de la requete dans $resultat apres l'execution de l'algo- 
rithme. 

Amelioration du script 

Ce fragment de code s'avere problematique. II peut y avoir un article Cha- 
teaux et un article Chateau. Tel qu'il est ecrit, le script ne renvoie un resultat que 
pour l'un de ces deux cas et il est incoherent car il depend de la presence de la 
forme plurielle. Si, par exemple, vous avez un article Chateaux et deux articles 
Chateau, vous n'obtiendrez que le premier article mais, si l'article au pluriel 
n'existe pas, vous obtiendrez les deux autres. 

Vous pouvez ajouter cette fonctionnalite en utilisant le test substr() pour 
qu'il corrige votre requete SQL au lieu de la remplacer entierement : 



$sql = "SELECT * FROM inf os_produits WHERE nom_produit = '$saisie'"; 
if (substr($saisie, -1) == x 1 ) { 

// Le dernier caractere de la chaine est un "x". 

// On ajoute une autre possibility a la clause WHERE. 

$sql .= " OR nom_produit = '" . substr_replace(Ssaisie, '', -1) . ; 

} 

$resultat = @mysql_query($sql, Sconnexion); 



Cette approche est tres differente car elle n'utilise quune seule requete SQL 
pour tout faire. Au lieu de tenter une seconde requete lorsque la premiere 
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echoue, le principe consiste a ajouter une partie OR a la clause WHERE si le nom de 
produit saisi se termine par un x. 

Recette 35 : Mettre une chatne en majuscules, en minuscules 
ou en capitales 

Un probleme qui se pose parfois avec PHP est que MySQL sait gerer les 
champs textuels sans tenir compte de la casse alors que les chaines de PHP sont 
sensibles a la casse. Dans une requete, MySQL ne fait pas de difference entre Fer- 
ret t, FERRETT et FerReTt. Pourtant, en tant que chaines PHP, elles n'ont rien en 
commun. Par consequent, vous devez modifier la casse des caracteres d'une 
chaine PHP avant de les comparer ou de les afficher. 

PHP dispose de trois fonctions essentielles pour modifier la casse des chaines 
strtolower( ), strtoupper( ) et ucwords( ). Voici un exemple de leur utilisation : 



<? 

$chaine = "salUt, cOmMenT vAs-tU ?"; 

echo strtoupper($chaine) ; 

// Affiche "SALUT, COMMENT VAS-TU ?" 

echo strtolower($chaine) ; 

// Affiche "salut, comment vas-tu ?" 

echo ucwords(strtolower($chaine) ) ; 
// Affiche "Salut, Comment Vas-tu ?" 
?> 

Ces appels fonctionnent de la facon suivante : 

• strtoupper( ) met tous les caracteres d'une chaine en majuscules. 

• strtolower( ) passe tous les caracteres d'une chaine en minuscules. 

• ucwords( ) met la premiere lettre de chaque mot de la chaine en majuscule. 

NOTE Vous remarquerez que ce script recourt a une petite astuce : nous avons utilise strtolower( ) 
avant ucwords ( ) . Sinon, Vaffichage serait SalUt, COmMenT VAs-tU ? 

Problemes eventuels 

II y a quelques petits problemes avec ucwords (). Le premier est qu'elle ne 
capitalise pas les lettres situees apres un caractere non alphabetique : une chaine 
comme m. dupont-durand deviendrait done M. Dupont-durand et ac/dc donnerait 
Ac/dc. Si cela vous pose probleme, vous pouvez creer une fonction utilisant les 
expressions regulieres pour decomposer la chaine en un tableau de mots, puis 
appeler ucwords ( ) pour capitaliser chaque mot et, enfin, rejoindre les mots de ce 
tableau en une seule chaine. 
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Un second probleme est que ucwords() capitalise certains mots qui ne 
devraient pas l'etre, comme et, ou et non. Si vous voulez utiliser un style typogra- 
phique correct, vous pouvez ecrire une simple fonction qui utilise str_replace( ) 
pour prendre ces mots en charge : 

<? 

function capitalise_mieux($chaine) { 

// Met les mots en majuscules, sauf certains. 

$mots_majuscules = array) "De ","Des", "Le ","La ","Les ","Et ", 

"Un ","Une ","0u ","Non "); 

$mots_minuscules = array("de ","des ","le ","la","les ","et ", 

"un ","une ","ou ","non "); 

$chaine = ucwords(strtolower($chaine) ) ; 

Schaine = str_replace ($mots_maj uscules , $mots_minuscules , Schaine); 
// Met la premiere lettre en majuscule, 
return ucfirst (Schaine) ; 

} 

?> 



Enfin, si vous manipulez des noms, ucwords(strtolower( ) ) supprime les capi- 
tales existantes : un nom comme McMurdo deviendra done Mcmurdo. Si ces capi- 
tales sont importantes et que vous devez les preserver, mais que vous devez 
comparer ce genre de chaines en PHP, utilisez strcasecmp(ch1 , ch2), qui ne tient 
pas compte de la casse lors de la comparaison de chl et ch2. 

Recette 36 : Rechercher des sous-chames 

PHP dispose de plusieurs fonctions permettant de rechercher une sous- 
chaine dans une chaine et votre choix dependra de ce que vous comptez faire du 
resultat. Voici les trois fonctions de base : 

• strpos ( ) trouve la position de la premiere occurrence de la sous-chaine. 

• strrpos( ) trouve la position de la derniere occurrence de la sous-chaine. Uti- 
lisez cette fonction avec substr() pour extraire tout ce qui se trouve apres 
dans la chaine. 

• strstr() renvoie tout ce qui se trouve apres la premiere occurrence de la 
sous-chaine. 

Ces trois fonctions renvoient False si la sous-chaine n'existe pas. Une posi- 
tion et une chaine pouvant etre evaluees a False dans une conditionnelle, il est 
tres important de verifier le type de la valeur de retour, comme dans le script 
suivant : 



<?php 

$chaine = "J'approuve ce qu'a fait le senateur Foghorn dans la guerre sur 
Buttermilk. Je m'appelle Ferrett Steinmetz, et j'approuve ce message."; 
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$terme = "approuve" ; 
// Apparait-il dans la chaine ? 
$pos = strpos($chaine, Sterme); 
if ($pos === False) { 

print "$terme n'est pas dans la chaine\n"; 

} else { 
print "position : $pos\n"; 

print "derniere position : " . strval(strrpos($chaine, $terme)) . "\n"; 

print strstr($chaine, $terme) . "\n"; 

// Affiche "approuve ce qu'a fait le senateur..." 

print substr($chaine, strrpos ($chaine , Sterme)) . "\n"; 

// Affiche "approuve ce message." 

} 

?> 



Problemes eventuels 

Trois problemes classiques peuvent survenir. Le premier est qu'il faut utiliser 
Foperateur triple egal (===) au lieu du double (==) dans une comparaison car 
Foperateur triple egal garantit que les valeurs et les types des termes compares 
sont les memes. Ceci est important parce strpos() peut renvoyer 0, alors que 
strstr() et strrpos() peuvent renvoyer une chaine vide ; or ces deux valeurs 
sont considerees comme False avec ==. 

Le second probleme est que ces fonctions sont sensibles a la casse ; l'appel 
strstr($chaine, 'Approuve' ) dans l'exemple precedent renverrait done False. 
Les versions insensibles a la casse de strpos( ), strrpos ( ) et strstr ( ) s'appellent, 
respectivement stripos( ), strripos( ) et stristr( ). 

Enfin, n'oubliez pas que ces fonctions permettent de rechercher de simples 
sous-chaines, pas des mots. Si vous devez effectuer un traitement plus elabore, 
comme rechercher des mots qui commencent par appro, comme approbation ou 
approuvemais pas desapprouve, vous avez besoin d'un mecanisme plus puissant : les 
expressions regulieres. Nous verrons comment les utiliser dans la recette n°39, 
"Expressions regulieres". 

Recette 37: Remplacer des sous-chaines 

Utilisez lafonction str_replace( ) pour effectuer un simple remplacement de 
chaine. Voici comment remplacer lapin par canard dans une chaine tiree d'une 
bande dessinee : 



$chaine = "e'est la saison des lapins !"; 
print (str_replace( "lapin" , "canard", $chaine)); 
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Vous remarquerez que str_replace( ) ne remplace pas la sous-chaine dans la 
chaine initiale. Si vous avez besoin de le faire, reassignez la chaine modifiee a la 
chaine initiale : 



$chaine = str_replace( "lapin" , "canard", $chaine); 



str replace ( ) dispose de plusieurs fonctionnalites supplementaires. Pour ne 
remplacer que les n premieres occurrences d'une sous-chaine, ajoutez ce nom- 
bre comme quatrieme parametre (c'est particulierement pratique pour ne rem- 
placer que la premiere occurrence) : 



str_replace( "lapin" , "canard", $chaine, n); 



Pour supprimer toutes les occurrences d'une sous-chaine, il suffit d'utiliser 
une chaine vide comme chaine de remplacement : 



$chaine = str_replace( "lapin" , "", $chaine); 



Vous pouvez demander a str replace ( ) de remplacer plusieurs sous-chaines 
en les placant dans un tableau : 



$mots_af f reux = array( "hamburger" , "bacon", "pot de creme"); 
$chaine = str_replace($mots_af f reux, "Chez Paulette", $chaine); 



Cet exemple remplace toutes les occurrences de hamburger, bacon et pot de 
creme presentes dans $chaine par Chez Paulette. 

Vous pouvez aussi fournir deux tableaux de meme taille en parametre, arm 
que str replace ( ) remplace chaque element du premier tableau par l'element 
au meme indice dans le deuxieme : 



$mots_aff reux = array( "hamburger" , "bacon", "pot de creme"); 
$remplacements = array( "carotte" , "brocoli", "creme allegee"); 
$chaine = str_replaoe($mots_af f reux, $remplacements , $chaine); 



Toutes les occurrences de hamburger seront alors remplacees par carotte, toutes 
celles de bacon par brocoli et toutes celles de pot de crime par crime allegee. 

Problemes eventuels 

Le probleme de str_replace( ) est qu'elle remplace tout ce qui correspond 
au motif que vous lui avez indique, ou qu'il se trouve dans la chaine. Si vous rem- 
placez out par non, par exemple, vous constaterez que souille s'est transforme en 
snonlle et Louis en Lnons. 
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Par consequent, bien que str_replace( ) soit d'une aide inestimable pour 
supprimer certains mots dans les petites chaines, vous devrez utiliser des expres- 
sions regulieres pour les operations plus complexes (voir la recette n°39, 
"Expressions regulieres"). 

Recette 38 : Trouver et corriger les fautes d'orthographe 
avec pspell 

Vous avez forcement, un jour, fait une faute d'orthographe en saisissant les 
mots-cles d'une recherche sur Google : musique alternitive, par exemple. En ce 
cas, vous avez pu constater que Google essayait de vous aider en affichant Essayez 
avec cette orthographe : musique alternative. 

Si votre site propose une fonction de recherche, pouvoir indiquer les fautes 
d'orthographe lorsqu'aucun resultat (ou trop peu) n'a ete trouve est une fonc- 
tionnalite tres pratique, surtout si le mauvais Francais d'un visiteur peut vous 
faire rater une vente. Heureusement, le module PHP pspell permet de verifier 
1' orthographe d'un mot et de suggerer un remplacement a partir de son diction- 
naire par defaut (mais vous pouvez aussi creer un dictionnaire personnalise). 
Pour commencer, vous devez vous assurer que la bibliotheque pspell est installee : 



<?php 

$config_dico = pspell_conf ig_create ( ' f r ' ) ; 
?> 



Si vous obtenez une erreur, c'est que la bibliotheque n'est pas installee. Reve- 
nez a la recette n°18 : "Ajouter des extensions a PHP" pour savoir comment corri- 
ger ce probleme. 

Utiliser le dictionnaire par defaut 

Voici une petite fonction pour vous aider a comprendre le fonctionnement 
de pspell : 



<?php 

function suggere_orthographe (Schaine) { 

// Suggere les mots possibles en cas de faute d'orthographe 
$config_dico = pspell_conf ig_create( ' f r 1 ) ; 
pspell_config_ignore($conf ig_dico, 3) ; 
pspell_config_mode($conf ig_dico, PSPELL_FAST) ; 
$dico = pspell_new_conf ig($conf ig_dico) ; 

// Pour savoir si l'on a suggere un remplacement 
$remplacement_suggere = false; 
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// pspell est configure... On decoupe la chaine en mots. 
$chaine = explode(' ', $chaine); 
foreach ($chaine as $cle => $valeur) { 

$valeur = trim(str_replace( ' , ' , ", Svaleur)); 
if ( (strlen($valeur) > 3) && (! pspell_check($dico, $valeur)) ) { 
// Si l'on ne trouve pas une suggestion 
$suggestion = pspell_suggest(Sdico, $valeur); 
// Les suggestions sont sensibles a la casse... 
if (strtolower($suggestion[0] ) != strtolower($valeur) ) { 
$chaine[$cle] = $suggestion[0] ; 
$remplacement_suggere = true; 

} 

} 

} 

if ($remplacement_suggere) { 

// On a une suggestion, done on revient aux donnees. 

return implode(' ', $chaine); 
} else { 

return null; 

} 

} 

?> 



Pour utiliser cette fonction, il suffit de lui passer une chaine en parametre : 

<? 

// recherche vient du formulaire precedent 
$recherche = S_P0ST[ 1 saisie 1 ] ; 

$suggestion_spell = suggere_orthographe($recherche) ; 
if ($suggestion_spell) { 

// pspell a trouve une suggestion. 

echo "Essayez avec cette orthographe : <i>Ssuggestion_spell</i>. " ; 

} 

?> 



Si la chaine de caracteres que vous soumettez a pspell est "voici ma phrase 
mal ortografiee ", le script precedent retournera bien : "Essayez avec cette ortho- 
graphe : voici ma phrase mal orthographiee ". En revanche, les resultats ne sont 
pas miraculeux avec des orthographes ou des coquilles extremement approxima- 
tives, en particulier lorsqu'on n'exploite que la premiere suggestion delivree par 
pspell ! Pour obtenir de meilleurs resultats, vous pouvez utiliser l'ensemble des 
suggestions offer tes par pspell. Le tres modeste script suivant renvoie une ving- 
taine de propositions autour du mot "lappin". N'hesitez pas a l'adapter pour, 
par exemple, creer une veritable fonction qui accepte un terme en guise de 
parametre : 



Traitement du texte et de HTML 77 



<?php 

$dico = pspell_new( "f r" ) ; 

if ( ! pspell_check($dico, "lappin")) { 

$suggestions = pspell_suggest(Sdico, "lappin"); 

foreach (Ssuggestions as $suggestion) { 

echo "Vouliez-vous dire : $suggestion ?<br />"; 

} 

} 

?> 



Cet exemple renvoie "lapin", "alpin", "lopin", "latin" et toutes les autres 
orthographes s'approchant du terme mal saisi ! 

Vous devez configurer un dictionnaire pour initialiser pspell. Pour ce faire, il 
faut creer un descripteur vers un fichier de configuration de dictionnaire, modi- 
fier quelques options de ce descripteur, puis utiliser la configuration de diction- 
naire pour creer un deuxieme descripteur pour le veritable dictionnaire. 

Si cela vous semble un peu complique, ne vous inquietez pas : le code change 
rarement et vous pouvez generalement vous contenter de le copier a partir d'un 
autre script. Cependant, nous allons ici l'etudier etape par etape. Void le code 
qui configure le dictionnaire : 



$config_dico = pspell_conf ig_create ( ' f r 1 ) ; 
pspell_conf ig_ignore($conf ig_dico, 3) ; 
pspell_conf ig_mode($config_dico, PSPELL_FAST) ; 



$conf ig dico est le descripteur initial, qui controle les options de votre dic- 
tionnaire. Vous devez charger toutes les options dans Sconf ig dico, puis vous en 
servir pour creer le dictionnaire. pspell conf ig create ( ) cree un dictionnaire 
francais (fr) . Pour utiliser la langue anglaise et preciser que vous preferez l'ortho- 
graphe americaine, passez 'en' en premier parametre et 'american' en second. 

pspell conf ig ignore ( ) indique a votre dictionnaire qu'il devra ignorer tous 
les mots de 3 lettres ou moins. En effet, la verification orthographique de chaque 
un ou feserait couteuse en temps de calcul. 

Enfin, pspell conf ig mode ( ) indique a pspell le mode de fonctionnement 
choisi : 

• PSPELL FAST est une methode rapide qui renverra le minimum de sugges- 
tions. 

• PSPELL NORMAL renvoie un nombre moyen de suggestions, a une vitesse 
norm ale. 



78 Chapitre 5 



• PSPELL SLOW permet d'obtenir toutes les suggestions possibles, bien que cette 
methode demande un certain temps pour effectuer la verification orthogra- 
phique. 

Nous pourrions utiliser encore d'autres options de configuration (pour ajou- 
ter, par exemple, un dictionnaire personnalise, ainsi que nous le verrons plus 
loin) mais, comme il s'agit ici d'une verification rapide, nous nous contenterons 
de creer le dictionnaire lui-meme avec cette ligne : 



$dico = pspell_new_conf ig($conf ig_dico) ; 

A partir de cet instant, vous pouvez utiliser le dictionnaire de deux facons : 

1. pspell_check($dico, mot) renvoie True si mot est dans le dictionnaire. 

2. pspell_suggest($dico, mot) renvoie un tableau des mots suggeres si mot 
n'est pas dans le dictionnaire (le premier element de ce tableau est le can- 
didat le plus probable) . Si mot est dans le dictionnaire, ou si aucune sug- 
gestion n'a ete trouvee, cet appel ne renvoie rien. Le nombre de mots 
obtenu varie, mais vous en obtiendrez plus avec PSPELL SLOW et moins avec 
PSPELL_FAST. 

NOTE Ces fonctions ne verifient pas I'orthographe selon le contexte : Marie a pour du voir sera 
done considere comme correct, bien que vous vouliez ecrire Marie a peur du noir. En outre, 
pspell renvoie toujours True si la longueur du mot est inferieure a celle indiquee parpspell_ 
config_ignore( ) : ici, un mot comme jlz sera done considere comme correct. 

Revenons au script initial. Maintenant que le dictionnaire est pret, nous decou- 
pons la chaine qui a ete passee en parametre pour obtenir un tableau de mots : 
void ma phrase devient done un tableau de trois elements, void, ma et phrase. 

Puis, nous verifions I'orthographe de chaque mot en utilisant le dictionnaire 
de pspell. Ce dernier n'aimant pas les virgules, on commence par les supprimer 
du mot avant de lancer la verification. Si le mot compte plus de 3 caracteres, la 
verification a lieu et en cas de faute d'orthographe, nous effectuons les operations 
suivantes : 

1. Nous demandons a pspell de nous fournir un tableau contenant ses 
suggestions de correction. 

2. Nous prenons la suggestion la plus probable (le premier element du 
tableau $suggestion) et nous remplacons le mot mal orthographie par 
celle-ci. 

3. Nous mettons l'indicateur $remplacement_suggere a vrai pour qu'a la fin 
de la boucle de traitement, Ton sache que Ton a trouve une faute d'ortho- 
graphe quelque part dans Schaine. 

A la fin de la boucle, s'il y a eu des corrections orthographiques, nous refor- 
mons une chaine a partir des elements du tableau corrrige et nous renvoyons 
cette chaine. Sinon, on renvoie null pour indiquer que Ton n'a pas detecte de 
faute d'orthographe. 
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Ajouter un dictionnaire personnalise a pspell 



Si un mot ne se trouve pas dans le dictionnaire par defaut, vous pouvez aise- 
ment l'y ajouter. Cependant, vous pouvez aussi creer un dictionnaire person- 
nalise qui sera utilise avec celui par defaut. 

Creez un repertoire sur votre site ou PHP a le droit d'ecrire et initialisez 
le nouveau dictionnaire dans celui-ci. Pour creer un nouveau fichier diction- 
naire perso.pws dans le repertoire chemin de votre serveur, utilisez le script 
suivant : 



<? 

$config_dico = pspell_conf ig_create ( ' f r ' ) ; 

pspell_conf ig_personal($conf ig_dico, ' chemin /perso.pws 1 ) ; 

pspell_conf ig_ignore($conf ig_dico, 2) ; 

pspell_conf ig_mode($config_dico, PSPELL_FAST) ; 

$dico = pspell_new_conf ig($conf ig_dico) ; 

?> 



C'est le meme script que celui de la section precedente, mais avec un ajout 
essentiel : l'appel a pspell conf ig_personal( ) initialise un fichier dictionnaire 
personnel. Si ce fichier n'existe pas deja, pspell en cree un vide pour vous. 

Vous pouvez ajouter a ce dictionnaire autant de mots que vous le souhaitez 
en utilisant la fonction suivante : 



pspell_add_to_personal($dico, mot) ; 



Tant que vous n'avez pas sauvegarde le dictionnaire, les mots ne lui sont ajou- 
tes que temporairement. Par consequent, apres avoir insere les mots souhaites, 
ajoutez cette ligne a la fin du script : 



pspell_save_wordlist ($dicto) ; 



Puis, appelez pspell conf ig_personal( ) comme ci-dessus dans un autre 
script et votre nouveau dictionnaire sera pret a collaborer avec le dictionnaire 
par defaut. C'est une methode tres interessante si votre script, ou plus genera- 
lement votre site web, manipule des donnees tres specifiques (un jargon de spe- 
cialistes, par exemple) qui n'apparaissent pas dans le dictionnaire francais 
usuel. 

Problemes eventuels 

N'oubliez pas que pspell supporte mal les caracteres de ponctuation qui, nor- 
malement, ne se trouvent pas dans les mots - virgules, points-virgules, deux- 
points, etc. Vous devez les supprimer des mots avant de les ajouter a votre diction- 
naire personnalise. 
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Recette 39 : Expressions regulieres 

Tot ou tard, vous devrez remonter vos manches et apprendre a utiliser les 
expressions regulieres, car ce sont les outils les plus puissants pour manipuler le 
texte. Vous recherchez tous les mots entre < et > pour supprimer le code HTML 
d'une chaine ? Vous avez besoin des expressions regulieres. Vous voulez recher- 
cher toutes les adresses IP contenues dans une chaine ? Vous voulez verifier que 
le mot de passe choisi par un utilisateur n'est pas simplement une suite de chif- 
fres (comme 123456) ou qu'elle contientun melange de minuscules et de majus- 
cules ? Vous voulez trier des donnees dans une base de donnees or les utilisateurs 
ont parfois saisi portecle, porte-cle ou porte-clef? Pour toutes ces operations, vous 
aurez besoin des expressions regulieres. 

Cela dit, les expressions regulieres peuvent etre difficiles a lire. L' expression 
suivante, par exemple, est assez cryptique si vous ne la decortiquez pas caractere 
par caractere : 



/"0[1-68]([-. ]?[0-9]{2}){4}$/ 



Bien qu'au premier abord, cela ne ressemble a rien, cette expression regu- 
liere permet de trouver un numero de telephone dans une chaine. C'est done un 
compromis : les expressions regulieres permettent d'effectuer des traitements 
tres puissants mais vous devez les construire caractere par caractere, comme un 
immense chateau de cartes ; si vous ratez un seul caractere, tout le motif 
s'effondre. 

Introduction aux expressions regulieres 

PHP utilise deux types d'expressions regulieres : les expressions POSIX eten- 
dues et les expressions compatibles Perl. Les noms des fonctions permettant de 
manipuler les premieres commencent generalement par ereg, tandis que celles 
qui manipulent les secondes debutent par preg. Ces deux types d'expressions ont 
des differences de syntaxe mineures ; en outre, leurs performances ne sont pas 
toujours identiques. La syntaxe compatible Perl etant tres connue, ce sont ces 
fonctions que nous utiliserons ici. L'une de leurs caracteristiques est qu'il faut 
placer l'expression entre des delimiteurs ; la plupart des developpeurs utilisent la 
barre de fraction car c'est avec elle que Ton recherche une expression reguliere 
dans l'editeur vi. 

Supposons que vous recherchiez le mot fred dans une chaine. En ce cas, 
l'expression reguliere est simplement fred : il n'y pas besoin de caracteres 
speciaux, ni de modificateurs. Voici comment l'utiliser avec la fonction preg_ 
match ( ) : 



if (preg_match( 1 If red/ ' , "J'ai vu Alfred passer ")) { 
print "J'ai trouve fred !"; 

} 
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Vous remarquerez que l'expression reguliere est une chaine et que les deli- 
miteurs (les barres de fraction) sont eux-memes dans la chaine. En outre, il est 
preferable d'utiliser des apostrophes simples afin que PHP n'effectue pas 
d'expansion des variables et n'interprete pas les sequences d'echappement. En 
effet, la syntaxe des expressions regulieres entre souvent en conflit avec les 
sequences d'echappement dans les chaines entre apostrophes doubles. 

NOTE II est plus pratique d 'utiliser un delimiteur different, la barre droite ( | ) par exemple, lorsque 
l'expression contient beaucoup de barres de fraction comme dans les URL ou les chemins. 

Les delimiteurs des expressions regulieres compatibles Perl existent essentiel- 
lement pour ne pas depayser ceux qui connaissent deja Perl et pour troubler les 
debutants, mais ils autorisent des fonctionnalites supplementaires, les modifica- 
teurs, qui sont des caracteres places apres le delimiteur fermant. Le plus courant 
est le modificateur i, qui rend l'expression insensible a la casse. Si vous voulez 
rechercher fred, Fred, FRED, fRed, etc., l'expression reguliere sera done If red/i. 

Caracteres speciaux 

Pour que les expressions regulieres soient plus compactes et plus pratiques, 
vous pouvez utiliser un certain nombre de caracteres et de sequences correspon- 
dant a des circonstances particulieres. Le caractere le plus simple (mais extreme- 
ment utile) est le point (.). II correspond a n'importe quel caractere, sauf le 
retour a la ligne. L'expression reguliere If . ed/, par exemple, capturera fled, fred, 
fed, etc. Pour capturer un vrai point utilisez un anti-slash (cette methode de 
deactivation fonctionne pour tous les caracteres speciaux) ; If \ . red/ ne capturera 
done que fred. 

Voici d'autres caracteres speciaux utiles : 

• A correspond au debut de la chaine. /'fred/ capturera done fred et frederic, 
mais pas alfred. 

• $ correspond a la fin de la chaine. If red$/ capturera done fred et alfred, mais 
pas frederic. 

• \s correspond a un caractere d'espacement comme un espace ou une 
tabulation. 

• \S correspond a tout caractere qui n'est pas d'espacement. 

• \d correspond a un chiffre decimal (0-9) . 

Vous en trouverez bien d'autres dans le manuel de PHP, mais ceux que nous 
venons de citer sont essentiels. 

Iterateurs de motifs 

II est temps de passer a la veritable puissance des expressions regulieres 
en expliquant comment repeter des motifs. Commencons par le caractere 
asterisque (*) qui signifie capture zero ou un un nombre quelconque d 'occurrences 
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du caractere ou de la sous-expression qui me precede. L'expression /f r*ed/, par 
exemple, permet de capturer fed, fred, frred, frrred, etc. Combine avec le carac- 
tere point, cet iterateur se comporte done comme un joker DOS ou shell ; / f r . * ed / 
capturera toute chaine contenant /rsuivi d'un nombre quelconque (eventuel- 
lement nul) de caracteres quelconques, suivis de ed : par exemple fred, fried, 
fritterpated, etc. etc. 

Le signe plus (+) est similaire, mais exige au moins une occurrence : a part fred, I 
fr.+ed/ capture done la meme chose que /fr.*ed/. 

Le point d'interrogation (?) signifie zero ou une occurrence. /porte-?clef / 
capturera done porteclef et porte-clef. 

Enfin, vous pouvez indiquer un nombre donne de repetitions entre accolades 
({}). Ainsi, /fr.{3}ed/ capture tout ce qui contient /rsuivi de trois caracteres 
quelconques, suivis de ed. Vous pouvez aussi donner un nombre minimum et un nombre 
maximum d'occurrences : {3,5}, par exemple, signifie trois a cinq occurrences. 

NOTE N'oubliez pas que vous devez utiliser un anti-slash si vous voulez capturer Vun de ces carac- 
teres speciaux ! Pour capturer fred?, par exemple, il faut ecrire /fred\?l, pas / fred?/. 

Groupements 

L'astuce suivante consiste a grouper un ensemble de caracteres entre paren- 
theses. Ce groupement permet d'utiliser un iterateur sur une sous-expression au 
lieu d'un simple caractere. Dans l'expression /f(re)+d/, par exemple, (re) + 
signifie qu'il faut capturer re au moins une fois ; le motif complet capture done 

fred, frered, frerered, etc. 

Une autre fonctionnalite que vous trouverez souvent dans les groupements 
est la barre droite ( | ) qui demande a PHP de capturer, soit la partie gauche, soit 
la partie droite de la barre. L'expression /lait (et|ou) viande/ capturera a la 
fois lait et viande et lait ou viande. De meme, /fred(ing|ed)?/ capturera feeding, 
freded et fred. 

Classes de caracteres 

La derniere syntaxe que nous presenterons consiste a utiliser des crochets 
([]) pour creer une classe de caracteres, e'est-a-dire plusieurs caracteres qui 
seront considered comme un seul lors de la capture. Un tiret permet de creer un 
intervalle : [0-9], par exemple, capture n'importe quel chiffre decimal, tandis 
que [0-9a-fA-F] capture n'importe quel chiffre hexadecimal. 

Si le premier caractere apres le crochet ouvrant est un accent circonflexe (") , 
il s'agit d'une classe de caracteres inversee, qui correspondra a n'importe quel 
caractere qui n'est pas entre les crochets. ["0-9], par exemple, capturera 
n'importe quel caractere qui n'est pas un chiffre decimal. 
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Construction d'une expression reguliere 



Vous connaissez maintenant les briques essentielles permettant de construire 
des expressions regulieres. Par elles-memes, elles ne font pas grand-chose mais, 
une fois assemblies, elles permettent de construire des expressions tres puissan- 
tes. Rappelez-vous cependant deux points essentiels : tout d'abord, la creation 
d'expressions complexes demande de la pratique ; ensuite, vous devriez toujours 
construire les expressions les plus compliquees morceau par morceau. A titre 
d'exemple, decortiquons l'expression reguliere suivante : 



/<a\s+[ ">] *href =" [ "" ]+"/i 



Cette expression permet de capturer une balise de lien en HTML. Ses diffe- 
rentes parties sont les suivantes : 

1. Toutes les balises de liens commencent par <a, c'est done le premier 
composant. 

2. II doit ensuite y avoir au moins une espace ; sinon, on pourrait avoir 
<arbre>, ce qui n'aurait aucun sens. C'est la raison du \s+. 

3. Maintenant, nous voulons capturer tous les caracteres de la balise jusqu'au 
lien, car il pourrait y avoir d'autres attributs comme target=" blank". Les 
balises se terminant par >, nous utilisons [ *>] * pour capturer zero ou plu- 
sieurs caracteres qui ne sont pas >. Si cette etape ne semble pas evidente, 
c'est normal : generalement, vous constaterez que vous en avez besoin 
apres avoir ecrit le reste de l'expression. 

4. Les attributs pour les liens commencent par href=", c'est done ce quivient 
apres (pour des raisons de simplicite, nous ignorons pour l'instant le fait 
que certains ne mettent pas de guillemet) . 

5. Nous sommes maintenant sur le premier caractere du lien et nous voulons 
le capturer en entier ; c'est la raison pour laquelle on utilise la meme 
astuce que dans l'etape 3 : [ A " ]+ capture tous les caracteres du lien (qui en 
comporte au moins un) . 

6. Pour capturer le guillemet qui ferme le lien, nous ajoutons un guille- 
met ("). Ceci pourrait sembler inutile puisque nous avons deja capture 
le lien, mais il est generalement preferable de continuer un peu le 
motif pour ne pas capturer accidentellement une valeur entierement 
fausse. 

7. Les noms des balises et des attributs HTML etant insensibles a la casse, 
nous ajoutons le modificateur i apres le delimiteur. 

Comme vous pouvez le constater, la recherche par motif avec les expressions 
regulieres est assez simple. II est maintenant temps de voir comment les utiliser 
avec PHP. 
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Recherches et extractions avec les expressions regulieres 



PHP dispose de plusieurs fonctions pour manipuler les expressions regu- 
lieres. Les plus simples sont celles qui vous indiquent si elles ont trouve des 
correspondances, ce que sont ces correspondances et leurs emplacements. Com- 
mencons par la fonction preg match ( ) qui recherche une seule correspondance : 



<?php 

$s = ' blah<a href="a. php">blah</a><a href="b.php">blah</a>' ; 
if (preg_match( 1 /<a\s+[ *>] *href =" [ *" ]+"/i' , $s, $corresp)) { 
print "correspondance : $corresp[0] " ; 

} 

?> 



Ici, nous recherchons une correspondance avec l'expression reguliere de la 
section precedente. preg match ( ) attend au moins deux parametres : l'expres- 
sion et la chaine a analyser. Le troisieme parametre facultatif Scorresp est un 
tableau ou preg_match( ) devra placer la premiere sous-chaine qui correspond. 
Ici, le tableau n'ayant qu'un seul element, on y accede par Scorresp [0]. 

Poursuivons cet exemple en ne capturant que le lien et non pas les caracteres 
qui le precedent. Pour cela, on peut utiliser un groupement pour delimiter la 
partie qui nous interesse : 



pregjnatch ( 1 /<a\s+[ A >] *href =" ( [ A " ]+) "li ' , $s, $corresp) ; 



Le groupement est signale par les parentheses autour de [""]+• Si une corres- 
pondance est trouvee, Scorresp [0] sera toujours la totalite de la chaine capturee, 
mais $corresp[1] contiendra aussi ce qui a ete capture par le premier groupe 
(a.php, ici). S'il y avait eu des groupes supplementaires dans l'expression, ils 
auraient ete designes par Scorresp [2], $corresp[3], etc. 

A ce stade, il est peut etre sage de se rappeler de la fonction print_r(), qui 
affiche le contenu complet d'un tableau. Elle peut etre vraiment utile afin de 
savoir comment fonctionne le tableau qui contient les correspondances, notam- 
ment si vous souhaitez egalement connaitre l'indice de ces correspondances car 
le format de ce tableau change lorsque vous avez besoin de cette information. En 
effet, vous devez alors ajouter le parametre PREG OFFSET CAPTURE a l'appel de la 
fonction : 



preg_match( 1 /<a\s+T>] *href =" ( [ A " ] + ) "/i 1 , $s, Scorresp, PREG_OFFSET_CAPTURE) ; 



S'il y a une correspondance, $corresp[0] et $corresp[1] contiennent tou- 
jours des informations sur la capture complete et celle du premier groupe mais 
ce sont maintenant des tableaux et non plus des chaines. Le premier element de 
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chaque tableau est la chaine capturee et le second est Findice de debut de la capture. 
Void le resultat legerement compacte de print r(Scorresp) pour notre exemple : 



Array ( 

[0] => Array ( 

[0] => <a href="a.php" 
[1] => 4 

) 

[ 1 ] => Array ( 



[0] => a.php 
[1] => 13 




Extraction de toutes les correspondences 

La fonction pregjnatch jail ( ) permet d'extraire toutes les correspondances 
d'une expression reguliere. Elle fonctionne exactement comme pregjnatch ( ), 
mais le tableau des correspondances a une structure differente et la valeur de 
retour est le nombre de correspondances trouvees. Supposons que vous utilisez 
a nouveau $corresp comme tableau resultat avec le meme exemple de groupe- 
ment que precedemment. Desormais, $corresp[0] correspond au premier 
ensemble de correspondances : $corresp[0] [0] est la sous-chaine complete qui 
a ete capturee et $corresp[0] [1 ] est la chaine capturee par le premier groupe 
(a.php). $corresp[1 ] est un tableau de meme structure correspondant a la cor- 
respondance suivante : dans notre exemple, $corresp[ 1 ] [ 1 ] contient done 
b.php. 

Tout cela peut vraiment devenir illisible, surtout si vous ajoutez le parametre 
PREG OFFSET CAPTURE puisqu'il remplacera toutes les chaines du tableau des cap- 
tures par une autre couche de tableaux, exactement comme avec pregjnatch (). 
La encore, print_r( ) peut vous etre d'une aide inestimable. 

Remplacement de sous-chaines avec les expressions regulieres 

La fonction preg replace ( ) se comporte comme pregjnatch ( ), mais elle rem- 
place egalement les sous-chaines et renvoie le resultat. Commencons par un 
exemple simple, ou nous remplacons toutes les occurrences correspondant a 
/f re+d/ par dedans $s : 



print preg_replace( ' If re+d/ ' , 'deb', $s); 



Tout fonctionne bien, mais est perfectible. Supposons que nous voulions uti- 
liser une partie de la chaine initiale - au lieu de tout remplacer par deb, comme 
precedemment, on veut conserver les e de la chaine. Ici, fred deviendra deb, 
freed deviendra deeb, etc. Pour ce faire, il suffit de grouper la partie concernee 
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dans l'expression reguliere, puis d'utiliser une reference arriere dans la chaine de 
remplacement. Voici comment faire : 



print preg_replace( 7f r(e+)d/ 1 , ' d$1 b ' , $s); 



Comme precedemment, le groupement est realise par les parentheses et la 
reference arriere est le $1 qui signifie premier groupe dans la chaine de remplace- 
ment. S'ily a plusieurs groupes, vous pouvez utiliser $2, $3, etc. pour les designer. 
La capture complete est representee par $0. 

NOTE Vous rencontrerez parfois des references arrieres avec des anti-slash (\0 , \1, \2, etc.) : il s'agit 
d'une syntaxe ancienne qui a la meme signification. 

Recette 40 : Rear ranger un tableau 

Etudions quelques outils qui utilisent les expressions regulieres. Suppo- 
sons que vous ayez un tableau HTML contenant beaucoup d'entrees de la 
forme : 



<tr><td>nom, prenom</td> 
<td>adresse</td> 
<td>telephone</td> 
</tr> 



Supposons maintenant que vous deviez modifier son format en celui-ci : 



<tr><td>prenom</td> 

<td>nom</td> 

<td>adresse</td> 

<td>telephone</td> 

</tr> 



Grace aux references arrieres, cette transformation peut se faire en une seule 
etape : 



Stable = preg_replace( ' /<td>(["<]*) , \s*([ A <]*)<\/td>/ 1 , 

, <td>$K/td>' . "\n" . '<td>$2</td>' , 
Stable) ; 



Tout cela merite quelques explications. J'ai separe les parametres sur trois 
lignes afin de rendre cet appel plus lisible. Vous noterez qu'il y a deux groupes et, 
qu'avant le second, \s* capture tous les espaces en trop. Enfin, vous remarquerez 
que la chaine de remplacement est produite par concatenation car on a besoin 
d'un retour a la ligne, or ce caractere doit etre dans une chaine entre apostrophes 
doubles pour pouvoir etre interprete. 
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Vous pouvez alors annoncer a votre chef que la transformation vous prendra 
un temps fou et vous avez maintenant du temps pour vous amuser avec votre 
console de jeu. 

Recette 41 : Extraire des donnees des pages 

Un "screen scraper" est un programme qui accede a une page web et par- 
court son code HTML pour en extraire les donnees interessantes. En voici un tres 
simple, permettant d'extraire les liens hypertextes d'une page et de les classer en 
categories. Cet extracteur utilise de nombreuses expressions regulieres que nous 
etudierons une a une. Nous verifions d'abord que l'entree (dans $_REQUEST [ " page " ] ) 
est bien un lien et non une tentative d'acceder aux fichiers du systeme local : 



<?php 

$page = S_REQUEST[ "page" ] ; 

if ( ! preg_match( ' | A https{0,1}://| ' , $page)) { 

print "L'URL $page est incorrecte ou non reconnue."; 
exit; 

} 



Lorsque ce test a ete effectue, nous pouvons passer a la lecture des donnees 
et a l'extraction des liens places dans les balises (voir l'exemple de la section 
"Construction d'une expression reguliere", plus haut dans ce chapitre). Vous 
remarquerez que nous utilisons simplement la fonction f ile_get_contents( ) au 
lieu de cURL car nous n'avons pas besoin des fonctionnalites avancees de ce 
dernier, comme l'authentification HTTP et la gestion des cookies. 



$donnees = f ile_get_contents($page) ; 

preg_match_all( 1 | <a\s[ A >] *href =" ( [ ]+) " | i ' , Sdonnees, $corresp) ; 



Tous les liens sont maintenant dans $corresp [ 1 ] (rappelez-vous que $corresp [ ] 
contient tout ce qui a ete capture) . Initialisons quelques tableaux qui serviront 
plus tard a stocker et a classer les liens : 



$tous_les_liens = array(); 
$liens_js = array( ) ; 
$liens_complets = array(); 
$liens_locaux = array(); 



Nous pouvons maintenant parcourir tous les liens pour effectuer le classe- 
ment. On teste d'abord que le lien n'a pas deja ete rencontre et, si ce n'est pas le 
cas, on utilise plusieurs expressions regulieres pour determiner sa categorie : 
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foreach ($corresp[1 ] as $lien) { 
if ($tous_les_liens[$lien] ) { 
continue; 

} 

$tous_les_liens[$lien] = true; 

if (preg_match( 1 /"JavaScript :/ 1 , Slien)) { 

$liens_js[] = $lien; 
} elseif (preg_match( 1 /"https{0, 1 } : IV , $lien)) { 

$liens_complets[ ] = Slien; 
} else { 

$liens_locaux[ ] = $lien; 

} 

} 



On peut alors afficher le resultat de l'analyse (voir la Figure 5.1) : 



print '<table border="0"> 1 ; 

print "<tr><td>Nombre de liens :</td><td>"; 

print strval(count(Scorresp[1 ] ) ) . "</td></tr>"; 

print "<tr><td>Liens uniques :</td><td>"; 

print strval(count(Stous_les_liens) ) . "</td></tr>"; 

print "<tr><td>Liens locaux :</td><td>"; 

print strval(count(Sliens_locaux) ) . "</td></tr>"; 

print "<tr><td>Liens complets :</td><td>"; 

print strval( count ($liens_complets) ) . "</td></tr>"; 

print "<tr><td>Liens JavaScript :</td><td>"; 

print strval(count(Sliens_js) ) . "</td></tr>"; 

print 1 </table> ' ; 

?> 



Nombrc dc liens 


210 


Liens uniques : 


141 


Liens locaux : 


89 


Liens complets : 


36 


Liens Javascript : 


16 



Figure 5. 1 : Resume des liens 



Amelioration du script 

Un script comme celui-ci peut s'etendre a l'infini : vous pouvez classer les 
liens selon vos besoins, en suivre certains, etc. Un exercice tres utile consiste a 
decomposer FURL initiale en ses differents composants afin de transformer les 
liens locaux (relatifs) en URL completes (absolues) . 
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Recette 42 : Convertir du texte normal en document HTML 



L'un des ennuis de la programmation web est que les documents en texte 
pur ne sont pas compatibles avec ceux en HTML, bien qu'ils soient souvent utili- 
ses de concert. Ce que les utilisateurs tapent dans les champs des formulaires, par 
exemple, est du texte pur mais il y a de fortes chances qu'ils veuillent rafficher en 
HTML. Voici un exemple de texte qui pourrait avoir ete saisi dans un formu- 
laire : 

Bonjour a tous, 

Suite a ma therapie, une partie de mon cerveau a ete supprimee. Je vais bien etje peux maintenant regarder 
les films d'Eric et Ramzy avec mes amis. 

Sincerement, 

Fred 

Comme il n'y a pas de balises <BR /> ou <P> pour creer des coupures de 
lignes, ce texte s'affichera de la facon suivante s'il est simplement injecte dans un 
navigateur web : 

Bonjour a tous, Suite a ma therapie, une partie de mon cerveau a eti supprimee. 
Je vais bien etje peux maintenant regarder les films d'Eric et Ramzy avec mes amis. 
Sincerement, Fred 

Bien qu'il soit dangereux de recopier aveuglement tout ce qu'a saisi l'utili- 
sateur puisque cela vous expose a des attaques XSS, ignorons ce probleme 
pour le moment et supposons que vous ayez une entiere confiance en cet utili- 
sateur. 

Le moyen le plus simple de convertir les retours a la ligne en HTML 
consiste a utiliser la fonction PHP nl2br( ). Malheureusement, cette methode 
n'est pas tres souple car elle traduit chaque retour a la ligne en balise <br> : si 
votre texte brut contient egalement du code HTML, vous risquez done 
d'obtenir un resultat assez illisible. Considerons, par exemple, cet extrait 
HTML : 



<table> 

<tr><td>Je suis une ligne du tableau 

</td></tr> 

</table> 

nl2br( ) le transforme pour obtenir : 
<table><br> 

<tr><td>Je suis une ligne du tableau<br> 

</td></tr><br> 

</table><br> 



Ce code aura done un rendu different de celui de 1' original. Au cours de mes 
recherches d'une meilleure solution, j'ai decouvert la fonction autop( ) ecrite par 
Matthew Mullenweg, le developpeur-fondateur de WordPress : 



90 Chapitre 5 



<? 

function autop ($pee , $br = 1) { 
// Convertit du texte brut en HTML 



$pee = $pee . "\n"; // On marque la fin pour faciliter le traitement. 

$pee = preg_replace( ' |<br />\s*<br />|', "\n\n", $pee); 

Spee = preg_replace( ' ! (<(?:table|ul|ol|li|pre|form|blockquote| 

h [ 1 6] )[">]*>) ! 1 , "\n$1", Spee); // Espace un peu... 
$pee = preg_replace( ' ! (</(?: table | ul |ol[li| pre | form | blockquote | 

h[16])>)!', "$1\n", Spee); // Espace un peu... 
Spee = preg_replace( "/ ( \r\n | \r) / " , "\n", Spee); // Retours a la ligne 

// portables. 

Spee = preg_replace("/\n\n+/", "\n\n", Spee); // Gere les doublons. 
Spee = preg_replace( 1 /\n?( .+?)(?: \n\s*\n | \z) /s 1 , "\t<p>$K/p>\n", 
Spee) ; 

// Cree les paragraphes, dont un a la fin. 

Spee = preg_replace( ' |<p>\s*?</p>| ' , '', Spee); // Dans certaines 
// conditions, cela pourrait creer un P ne contenant que des espaces. 
Spee = preg_replace( " |<p>(<li.+?)</p>| ", Spee); // Probleme avec 

// les listes imbriquees. 

Spee = preg_replace( ' | <p><blockquote( [*>] *)> | i ' , "<blockquote$1><p>" , 
Spee) ; 

Spee = str_replace( 1 </blockquote></p> ' , ' </p></blockquote> ' , Spee); 
Spee = preg_replace( 1 ! <p>\ s* (</?(?: table | tr | td | th | div | ul | ol | 

li | pre | select | form | blockquote |p|h[1-6])[*>]*>)!', 

"S1", Spee); 

Spee = preg_replace( 1 ! (</?(?: table | tr | td | th | div |ul|ol|li| pre | select | 
form|blockquote|p|h[1-6])[ A >]*>)\s*</p>! 1 , "S1", 
Spee) ; 

// Cree eventuellement des retours a la ligne 

if ($br) Spee = preg_replace( 1 | (?<!<br />) \s*\n | ' , "<br />\n", Spee); 
Spee = preg_replace( 1 ! (</?(?: table | tr | td | th | div | dl | dd|dt|ul|ol|li| pre | 

select|form|blockquote|p|h[1-6])[">]*>)\s*<br />! 1 , 

"S1", Spee); 

Spee = preg_replace( 1 !<br />(\s*</?(?:p|li|div|th|pre|td|ul|ol)>) ! 1 , 
'$1 1 , Spee) ; 

Spee = preg_replace( 1 /&(["#])(?! [a-z]{1 ,8}; )/ 1 , ' &$1 ' , Spee); 
return Spee; 

} 

?> 



autop () attend un unique parametre, la chaine a filtrer, et elle renvoie la 
chaine nltree. Ce script est suffisamment malin pour conserver les elements des 
blocs HTML (les tableaux et les listes formatees n'auront pas de <br /> inseres 
aleatoirement lorsqu'il y a des espaces) tout en ignorant les <P> et les <br />. 
Appliquee a ce texte, par exemple : 



Traitement du texte et de HTML 91 



print autop('Un haiku est forme de cinq 
<br /> 

Syllabes placees verticalement 
Sept au milieu ' ) ; 



vous obtiendrez le resultat suivant : 



<p>Un haiku est forme de cinq</p> 
<p>Syllabes placees verticalement<br /> 
Sept au milieu 
</p> 



La fonction autop( ) est decoupee en trois phases : nettoyage, remplacement 
puis suppression des balises. Avant de detailler chacune d'elles, nous devons 
examiner les modificateurs employes dans cette fonction. 

La syntaxe (?:truc), notamment, represente un groupement identique a 
(true), mais ? : demande a l'analyseur d'expressions regulieres de ne pas creer 
de reference arriere pour ce groupe ; vous voulez connaitre la valeur qui a ete 
capturee par ce groupe, mais vous souhaitez egalement utiliser les fonction- 
nalites des groupes - repetitions du groupe, options, etc. Cette syntaxe laisse 
une plus grande marge a la personnalisation, notamment lorsque vous devez 
inserer un groupe apres avoir ecrit beaucoup de code dependant d'une refe- 
rence arriere. Etudiez par exemple cette expression extraite du code de 
autop( ) : 



! (</(?: table | ul | ol | li | pre | form | blockquote | h [ 1 -6] )>) ! 



Elle signifie capture toute balise table, ul, ol, li, pre, form, blockquote ou hi a h6. 
Mais, ici, tout ce qui interesse Matthew Mullenweg est le groupement, car il 
lui permet de preciser plusieurs balises dans la meme expression reguliere. 

Sans faire une analyse ligne par ligne de cette fonction, nous pouvons decrire 
le deroulement de autop( ) : 

1. Nettoyage : autop ( ) remplace toutes les instances repetees de <br> par des 
retours a la ligne et corrige tous les retours a la ligne pour qu'ils fonction- 
nent avec Unix (ce dernier utilise un unique caractere \n, alors que 
Windows utilise \r\n) ; elle reduit egalement les longues chaines de 
retours a la ligne en deux retours a la ligne. 

2. Remplacement: autop () recherche tous les retours a la ligne suivis de 
texte, lui-meme suivi de deux retours a la ligne et remplace les retours a la 
ligne par des balises de paragraphes, comme dans <p>truc</p> . 

3. Suppression des balises : autop ( ) recherche les balises de blocs HTML 
(comme les listes numerotees et les tableaux) qui seraient perturbees par 
<p> ou <br> et les supprime. 
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Recette 43 : Creer des liens automatiques vers les URL 



La plupart des logiciels de forums de discussion ou de blog convertissent 
automatiquement en liens hypertextes les URL postees dans les articles et les 
commentaires. Vous pourriez penser qu'il suffit de capturer http:// puis d'utiliser 
une reference arriere pour encadrer l'URL par une balise de lien, mais si cette 
URL comporte deja une balise, cela creera une belle confusion ! 

Vous devez done vous assurer que l'URL n'est pas deja dans une balise. Vous 
pourriez vouloir utiliser le modificateur de groupement ? ! , qui permet de rejeter 
tout ce qui correspond au groupe mais cela ne fonctionne que si le groupe non desire 
suit celui que vous voulez capturer - les expressions regulieres ne traitent qu'un 
caractere a la fois et ne reviennent jamais en arriere. Vous avez done besoin de la 
fonctionnalite appelee assertion de recherche vers I'arriere, qui signifie essentielle- 
ment verifie cette condition lorsque Von trouve une correspondance plus loin dans Vexpres- 
sion. Pour representer une assertion de recherche vers F arriere negative, il faut 
utiliser le modificateur de groupement ?< ! . 

Ceci etant dit, void le code permettant de creer automatiquement des liens 
pour les URL, lorsque vous ne voulez pas perturber tout ce qui est prefixe par 
href=" dans une balise de lien HTML : 



preg_replace( 1 | (?<!href =" ) (https? : // [A-Za-z0-9+\ = ._/* ( ) ,<a\ 1 $: ;&! ?%] + ) |i' , 
'<a href="$1 ">$1 </a> ' , 
Schaine) ; 



L'essentiel de cette expression reguliere est une classe de caracteres 
contenant ceux admis dans une URL. Differentes variations sur ce theme sont 
evidemment possibles : verification de la validite du nom de domaine, recher- 
che d'un point ou d'une virgule finale, etc. Mais ne vous laissez pas trop 
emporter. 

Recette 44 : Supprimer les balises HTML contenues 
dans une chathe 

Bien que les expressions regulieres soient utiles, elles ne constituent pas la 
solution universelle a tous les problemes. Supposons, par exemple, que vous 
comptiez afficher du texte eventuellement code en HTML dans une autre page 
HTML et que vous devez done supprimer toutes les balises qui risquent de poser 
probleme. La fonction strip tags ( ) permet d'effectuer ce traitement : 



<?php 

print strip_tags($chaine) ; 

?> 
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Pour indiquer les balises que vous voulez malgre tout autoriser, passez a la 
fonction un parametre supplementaire, une chaine contenant les balises autorisees 
(n'indiquez que les balises ouvrantes) : 



print strip_tags($chaine, "<i><b><p>"); 



Cette fonction n'est qu'un exemple des nombreuses fonctionnalites qu'offre 
PHP pour le traitement du texte, celles-ci constituant une alternative aux expres- 
sions regulieres ou aux autres solutions maison. II est toujours interessant de par- 
courir le manuel de PHP pour voir s'il existe une reponse toute prete a vos 
besoins, mais n'ayez pas peur de mettre les mains dans le cambouis si necessaire. 
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6 

TRAITEMENT DES DATES 




Ce chapitre explique comment traiter les dates et les 
temps avec PHP. Les programmes web impliquent sou- 
vent un nombre important d' extractions, de manipu- 
lations, de comparaisons et d'affichages des dates et 
cela devient encore plus evident lorsqu'il s'agit 
d'ajouter MySQL a l'ensemble. Mais commencons d'abord 
par presenter le format natif utilise par votre serveur pour 
representer les dates et les temps. 

Representation du temps avec Unix 

Avant d'entrer dans les details de la magie des dates, nous devons presenter la 
facon dont les serveurs Unix/Linux (et done PHP) conformes a POSIX stockent 
les valeurs temporelles. Heureusement, ce systeme est assez simple. 

Sur les ordinateurs Unix, le temps "commence" le premier janvier 1970 a 
minuit. En termes Unix, cet instant est l'instant et s'appelle I'epoch. 

Toute date depuis cet instant precis est representee par le nombre de secondes 
ecoulees depuis I'epoch. Si, par exemple, ce texte est ecrit le 11 janvier 2008 a 
12 h IV mn et 25 sec, il se sera ecoule 1 200 082 645 secondes et e'est cette valeur 
qui representera cet instant. 



Ce principe simplifie la manipulation des dates en PHP tant qu'il ne s'agit 
pas de les afficher. Vous pouvez, par exemple, passer au jour suivant en ajoutant 
(60 * 60 * 24) secondes au temps courant ou revenir une heure en arriere en 
soustrayant 3600 secondes. Le Tableau 6.1 resume les valeurs classiques utilisees 
avec les temps. 



Tableau 6.1: Increments de temps classiques mesures en secondes 



Secondes 


Temps 


60 


Une minute 


3600 


Une heure 


28800 


Huit heures 


86400 


Un jour 


604800 


Une semaine 



La valeur stockee pour representer le temps n'etant qu'un nombre, vous 
pouvez aisement comparer deux instants : la valeur la plus grande des deux cor- 
respond alors a l'instant le plus proche de nous. Ceci est particulierement utile 
pour comparer des instants par rapport au moment present. 

Outre l'extraction, la manipulation et le stockage des temps, ce chapitre 
explique comment les convertir dans un format lisible et comment obtenir 
d'autres informations, comme le jour de la semaine. Nous etudierons egalement 
la manipulation des formats des dates avec MySQL. 

Recette 45 : ConnaTtre l'instant courant 

Pour connaitre l'instant courant, il suffit d'appeler la fonction time() sans 
parametre. En ce cas, cet appel renvoie la valeur de l'instant courant, telle qu'elle 
est stockee sur le serveur. Ce code, par exemple, affiche l'heure courante : 



echo "L'instant courant est " . time(); 



Vous pouvez egalement stocker ce resultat de cette fonction dans une variable : 



$temps = time( ) ; 



De nombreuses fonctions PHP sur les dates attendent un instant en para- 
metre et la plupart utilisent l'instant courant si vous ne leur fournissez pas cette 
information. La fonction date(), par exemple, renvoie une chaine formatee 
selon vos envies a l'aide de la syntaxe date ( "format" , instant) mais, si vous ne 
fournissez pas instant, elle renverra l'instant courant formate selon format. 
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Cela signifie que, dans la plupart des cas, vous n'avez meme pas besoin d'employer 
time ( ) si vous voulez travailler sur le moment present. 

NOTE Un instant est toujours exprime en UTC ( Coordinated Universal Time, un standard inter- 
national tres precis). Cependant, les fonctions d'affichage des dates et des temps utilisent la 
zone horaire du serveur pour en deduire I'heure locale a afficher. L'instant 1136116800, 
par exemple, representera une heure du matin sur un serveur utilisant la zone MET (Mid- 
dle European Time), mais sept heures du soir le jour precedent sur un serveur de la zone 
EST (Eastern Standard Time). 

Recette 46 : Obtenir l'instant correspondant a une date 
du passe ou du futur 

Voyons maintenant comment obtenir les instants de dates proches de l'ins- 
tant courant : celle d'hier ou de vendredi prochain, par exemple. II existe deux 
methodes generales pour y parvenir : 

• utiliser une chaine ; 

• utiliser les valeurs d'une date (ce qui peut etre un peu plus complique). 

Creation d'instants a partir d'une chaine 

La fonction strtotime( ) est parfois la meilleure amie du programmeur PHP. 
Comme son nom l'indique, elle produit une valeur temporelle a partir d'une 
chaine contenant une date exprimee en anglais, comme April 1 ou Friday. Ces 
chaines peuvent etre relatives a l'instant present ou etre des dates absolues. 
Le Tableau 6.2 presente quelques chaines possibles. 



Tableau 6.2 : Exemples d'utilisation de strtotime() 



Appel 




Resultat (sous forme d'instant) 


strtotime ( 


Friday" ) 


Vendredi d minuit 


strtotime( 


+1 week Friday") 


Vendredi de la semaine prochaine d minuit 


strtotime( 


+1 week") 


Dans une semaine d partir de maintenant 


strtotime ( 


-2 months" ) 


II y a deux mois 


strtotime ( 


October 1 , 2008" ) 


Le l er octobre 2008 d minuit 


strtotime ( 


2008-10-01 ") 


Le l er octobre 2008 d minuit 


strtotime ( 


Friday 12:01 p.m. " ) 


Vendredi d 1 2h 01 mn 


strtotimef 


+7 days 12:01 p.m. " ) 


Dans sept jours d 1 2h 01 mn 



Bien que la plupart des formats de date soient reconnus par strtotime ( ), cer- 
tains peuvent poser probleme et il n'est pas evident de distinguer ceux qui fonc- 
tionnent de ceux qui ne fonctionnent pas ; strtotime( "2008-10-01 " ) se comporte 
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bien, par exemple, alors que strtotime( " 1 0-01 -2008" ) produit un instant incor- 
rect qui correspond au 28juin 2015. Pour obtenir des resultats coherents, utilisez 
toujours des dates au format ISO 8601 complet (voir la page http:// 
www.cl.cam.ac.uk/~mgk25/iso-time.html), c'est-a-dire de la forme AAAA-MM-JJ. 
Ce format est particulierement interessant parce que c'est Tun de ceux que 
MySQL comprend, comme nous le verrons dans la section "Formats des dates 
MySQL", a la fin de ce chapitre. 

Si strtotime() est incapable de traduire votre requete, elle renverra soit 
false (a partir de PHP 5.1), soit -1 (avec les versions plus anciennes). Ce -1, 
notamment, peut induire en erreur car il risque d'etre interprete comme le 
31 decembre 1969, une seconde avant I'epoch. 

Verification des dates avec strtotime() 

strtotime( ) permet egalement de verifier qu'une date appartient a un inter- 
valle correct. Si, par exemple, vous autorisez les utilisateurs a saisir des dates de la 
forme 2008-01-01, vous pouvez verifier que leurs saisies sont correctes en appe- 
lant strtotime( ) mais cela ne vous indiquera pas si la date est autorisee : un utili- 
sateur pourrait saisir yesterday et l'appel renverrait true. Si vous placez ces dates 
dans une base de donnees, par exemple, vous devriez done ajouter une couche 
de verification supplementaire pour garantir que le contenu du champ est valide. 
Le script suivant controle une date fournie par l'utilisateur pour verifier qu'elle 
appartient bien a un intervalle correct, puis la met dans un format reconnu par la 
base : 



<?php 

$date_utilisateur = $_GET[ 1 date 1 ] ; 
$instant_utilisateur = strtotime(Sdate_utilisateur) ; 

// Debut/fin de l'intervalle de date autorise. 
$date_deb = strtotime( '2008-01-01' ) ; 
$date_fin = strtotime( ' 2009-01 -01' ) ; 

if ($instant_utilisateur < $date_deb | | 
$instant_utilisateur >= $date_fin) { 
die("La date n'appartient pas a l'intervalle autorise"); 

} 

$date_base = date( 'Y-m-d' , $instant_utilisateur) ; 

// On peut alors utiliser $date_base dans une requete SQL 

?> 



NOTE La fonction date ( ) sera presentee plus loin dans ce chapitre. 
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Creation d Instants a partir de dates 



Si vous connaissez deja la date et l'heure precises dont vous avez besoin, vous 
pouvez creer Finstant correspondant avec la fonction mktime( ) en lui fournissant 
l'heure, les minutes, les secondes, le numero du mois, le jour et l'annee. Voici un 
exemple : 



$date_f uture = mktime($heure, Sminutes, Ssecondes, Smois, $jour, $annee); 



Vous pouvez omettre des parametres en partant de la droite ; dans ce cas, 
mktime( ) utilisera les valeurs de Finstant courant. mktime(12, 00, 0), par exem- 
ple, cree Finstant qui represente midi pour aujourd'hui. Les parametres doivent 
etre de vrais nombres et non des chaines de caracteres. Ainsi mktime ('12', ' 05 ' , 
' 2008 ' ) ne correspond pas au 5 decembre 2008 ni au 12 mai 2008 mais au jour 
present, a 12h05 et 2008 secondes (soit 12h38min28sec) . 

NOTE Si vous creez une date avec mktime () , il est generalement preferable d'utiliser une heure 
valanl 12 par defaut, juste au cas oil le serveur aurait des problemes avec les zones horaires. 
En effet, certains sont configures pour utiliser UTC et, si PHP utilise la zone EST, la crea- 
tion d'un instant pour une date debutant a minuit peut ne pas donner cette date pendant 
qualre heures. 

Une astuce classique consiste a utiliser les fonctions date() (voir la recette 
n°47 : "Formater les dates et les heures") et strtotime ( ) pour obtenir le jour et le 
mois courants a utiliser avec mktime ( ). 

Cette ligne de code, par exemple, utilise date( ) pour obtenir le mois courant 
au format 01-12, puis Finsere comme valeur du parametre mois a Fappel de la 
fonction mktime ( ) : 



$premier_jour_clu_mois = mktime(0, 0, 0, intval(date("m") ) , 1); 



Cet extrait emploie strtotime () pour obtenir le mois suivant sous forme 
d'instant, puis convertit cet instant a la fois en numero de mois sur deux chiffres 
et en annee sur quatre chiffres pour les utiliser avec mktime ( ) (vous remarquerez 
que Fon utilise ici explicitement l'annee pour prendre en compte le cas ou Fon 
passerait de decembre a janvier, puisque le mois suivant serait alors egalement 
l'annee suivante). 



$mois_suivant = strtotime( "+1 month"); 

$premier_jour_mois_suiv = mktime(0, 0, 0, 

intval(date( "m" , $mois_suivant) ) , 1, 

intval(date( "y" , $mois_suivant) ) ) ; 
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Parfois, la fonction mktime() ne suffit pas car on ne travaille pas seulement 
avec des jours et des mois, mais egalement avec des semaines : c'est dans ces 
moments-la que Ton a besoin de strtotime( ). 

Enfin, la fonction checkdate( ) est souvent utilisee avec mktime ( ), car elle veri- 
fie qu'un jour, un mois et une annee forment bien une date du calendrier. Ainsi, 
checkdate(12, 31, 2008) renvoie true, alors que checkdate(2, 31, 2008) renvoie 
false. 

Maintenant que nous savons creer et manipuler des dates en PHP, voyons 
comment les afficher. 

Recette 47 : Formater les dates et les heures 

Vu que nous sommes peu habitues a exprimer les dates en secondes, il est 
preferable d'utiliser un format comme 15 Oct 2006Torsque Ton affiche les dates. 

Nous allons done presenter ici le fonctionnement de date( ) que nous avons 
deja rencontree plus haut dans ce chapitre. Cette fonction renvoie une chaine a 
partir de ses deux parametres qui sont, respectivement, un format de date 
(comme j M Y') et un instant. L'appel date (' j M Y', 1151884800), par exemple, 
produit la chaine 2 Jul 2006 dans la zone PST. Si vous omettez le deuxieme para- 
metre, date( ) utilise l'instant courant. 

La chaine de format peut contenir d'autres caracteres, comme des deux- 
points et des virgules mais, a la difference des autres fonctions attendant un for- 
mat, comme printf , vous devez faire tres attention a ne pas utiliser des caracteres 
reserves au formatage car il n'y a pas de prefixe de format. Le Tableau 6.3 pro- 
vient directement de la documentation officielle de PHP et presente les differentes 
chaines de format. 



Tableau 6.3 : ChaTnes de format de date(] 



Caractere 
de format 


Description 


Exemple de resultat 


Jour 


d 


Jour du mois sur deux chiffres 


01 d 31 


D 


Representation textuelle du jour sur trois 
lettres 


Mon d Sun 


J 


Jour du mois sans zero de tete 


1 d 31 


I (L minuscule) 


Representation textuelle complete du jour 
de la semaine 


Sunday d Saturday 


S 


Suffixe ordinal anglais du jour du mois, 
sur deux caracteres 


'st', 'nd', 'rd' ou 'th' ; marche bien 
avec j 


W 


Representation numerique du jour de la 
semaine 


(Dimanche) d 6 (Samedi) 
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Tableau 6.3 : ChaTnes de format de date(] 



z 


Jour de I'annee 


Od 365 


Semaine 


W 


Numero de semaine ISO-8601 de 
I'annee. Les semaines commence le Lundi 
(a partir de PHP 4.1 .0) 


42 (42 e semaine de I'annee) 


Mois 


F 


Representation textuelle complete du 
mois, comme January ou March. 


January d December 


m 


Representation numerique du mois, avec 
des zeros en tete. 


01 d 12 


M 


Representation textuelle du mois abregee 
en trois lettres 


Jan d Dec 


N 


Representation numerique du mois, sans 
zero de tete 


1 d 12 


T 


Nombre de jours dans le mois 


28 d 31 


An nee 


L 


Annee bissextile 


1 si I'annee est bissextile, sinon 


Y 


Representation sur quatre chiffres 


1999 ou 2003 


Y 


Representation sur deux chiffres 


99 ou 03 


Heure 


A 


Representation minuscule de AM et PM 


am ou pm 


A 


Representation majuscule de AM et PM 


AM ou PM 


B 


Heure Internet Swatch 


000 d 999 


G 


Format 1 2 heures sans zero de tete 


1 d 12 


G 


Format 24 heures sans zero de tete 


0d23 


H 


Format 1 2 avec zeros de tete 


01 d 12 


H 


Format 24 heures avec zeros de tete 


00 d 23 


1 


Minutes, avec zeros de tete 


00 d 59 


S 


Secondes, avec zeros de tete 


00 d 59 
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Tableau 6.3 : ChaTnes de format de date() 



Zone horaire 



1 
1 


Heure d'ete 


1 si heure d'ete, sinon 




Difference en heures par rapport a UTC 


+UZUU 


T 


Zone horaire de cette machine 


EST, MDT, etc. 


Z 


Decalage de la zone en secondes. 
Ce decalage est toujours negatif pour 
les zones d I'ouest de UTC et toujours 
positif pour les zones d I'EST de UTC 


-43200 d 43200 


Date/heure 


complete 




C 


Date au format ISO 8601 
(d partir de PHP 5) 


2008-1 2-1 8T1 6:01:07 +02:00 


R 


Date au format RFC 2822 


Thu, 1 8 Dec 2008 1 6:01 :07 +0200 



Les caracteres non reconnus dans la chaine de format sont affiches tels 
quels : si vous voulez utiliser litteralement l'un des caracteres de format, vous 
devez done le proteger par un anti-slash ('M\e j \d\e M") . Cependant, on a tot fait 
de se perdre dans les anti-slash puisqu'ils sont egalement utilises par les sequences 
d'echappement. 

Le Tableau 6.4 presente quelques exemples de formats de dates. 



Tableau 6.4 : Exemples de chaTnes produites par date() 



ChaTne de format 


Exemple de resultat 


1 (L minuscule) 


Saturday 


M 


Oct 


H:m 


1:36 


G:i:s A 


5:26:01 PM 


d-m-Y 


04-10-2008 


j M y 


1 Jun 08 


d M Y h:m:s a 


16 Aug 2008 12:08:00 am 



Formater les dates en francais 

Dans la plupart des scripts que vous developperez, vous devrez vraisemblable- 
ment manipuler des dates en notation francaise. II existe plusieurs methodes 
pour aboutir rapidement a ce formatage, mais vous avez tout interet a utiliser la 
fonction strftime(). En guise de parametres, elle accepte le formage special et 
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eventuellement un instant specifique (sinon, c'est l'heure courante qui sera utilisee) . 
En parallele, la fonction setlocale() modifie les informations de localisation 
renvoyees par le serveur : en personnalisant la constante LC TIME, on change le 
format d'heure. Ainsi, l'exemple suivant : 



setlocale(LC_TIME, 'fr', ' f r_FR ' , 'fr_FR. IS08859-1 ' ) ; 
echo strftime("%A %d %B %Y."); 



affichera "lundi 18 aout 2008". Nous avons tout d'abord modifie le format 
d'heure (les parametres "fr", "fr_FR" et "fr_FR.IS08859-l" correspondent a tous 
les types de valeurs attendues par les serveurs) . Puis nous appelons la fonction 
strftime( ) sur la date courante. Le formatage est specifique a cette fonction : ici, 
%A est le nom complet du jour, %d sa valeur numerique, %B le nom complet du 
mois et %Yl'annee. Vous retrouverez la liste complete des caracteres de formatage 
a l'adresse http://tinyurl.com/5usynv. 

Si vous n'avez pas la possibility d'executer setlocale ( ) sur votre serveur, vous 
pouvez vous rabattre sur une solution plus simple, qui exploite la fonction date( ). 
En voici un exemple : 



$liste_jours = array) "dimanche" , "lundi", "mardi", "mercredi", "jeudi", 
"vendredi", "samedi"); 

$liste_mois = array("", "janvier", "fevrier", "mars", "avril", "mai", "juin", 
"juillet", "aout", "septembre" , "octobre", "novembre", "decembre" ) ; 
list ($nom_jour, $jour, Smois, $annee) = explode)'/', date( "w/d/n/Y" ) ) ; 
echo $liste_jours[$nom_jour] . ' ' .Sjour. ' ' . $liste_mois [Smois] . ' ' .Sannee; 



Ici, nous creons deux tableaux con tenant le nom de tous les jours et de tous 
les mois. Nous recuperons la date du jour et nous isolons chaque information 
(jour, mois, annee) dans une variable. II ne nous reste plus qu'a parcourir les 
deux tableaux afin d'afficher une date complete, "mardi 28 juillet 2009" par 
exemple. 

Recette 48 : Calculer le jour de la semaine d'une date 

Cette recette est la suite logique de la recette precedente ; elle explique 
comment obtenir des informations tres specifiques a partir d'une date. 

La encore, la cle consiste a obtenir l'instant correspondant a une date : 



<?php 

$instant = strtotime ( "2008-07-03" ) ; 

$j our_de_la_semaine = date('l', $instant); 

echo ' Le jour de la semaine est ' . $jour_de_la_semaine; 

?> 
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Ce script comporte trois etapes tres simples : 

1. II stocke dans Sinstant l'instant correspondant au 3 juillet. 

2. II utilise la foncdon date( ) pour extraire le jour de la semaine de Sins- 
tant. 

3. II affiche le jour de la semaine. 

Recette 49 : Calculer la difference entre deux dates 

Si vous devez trouver le temps qui s'est ecoule entre deux dates, void ce dont 
vous avez besoin : 



<?php 

function calcule_dif f_temps($instant1 , $instant2, $unite_temps) { 
// Calcule la difference entre deux instants 
Sinstantl = intval ($instant1 ) ; 
$instant2 = intval($instant2) ; 
if ($instant1 && $instant2) { 
$ecart_temps = Sinstant2 - $instant1 ; 
$secondes_en_unites = array( 
' secondes ' => 1 , 
'minutes' => 60, 
'heures' => 3600, 
'jours' => 86400, 
'semaines' => 604800, 

); 

if ($secondes_en_unites[Sunite_temps] ) { 

return f loor($ecart_temps/$secondes_en_unites[$unite_temps] ) ; 

} 

} 

return false; 

} 

?> 



La fonction calcule dif f temps attend trois parametres : le premier et le 
deuxieme instants, ainsi que l'unite dans laquelle exprimer cette difference, en 
secondes, heures, jours ou semaines. 

Elle commence par transtyper les instants en valeurs numeriques, puis sous- 
trait le premier instant du second afin de determiner le nombre de secondes 
entre les deux (n'oubliez pas que les instants etant simplement des nombres de 
secondes ecoulees depuis l'epoch, c'est-a-dire le premier janvier 1970 a minuit ; 
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leur difference est un nombre de secondes). Puis, elle utilise un tableau pour 
trouver l'unite dans laquelle l'utilisateur souhaite obtenir son resultat. Ces unites 
sont exprimees en secondes. Si l'unite indiquee est correcte, la fonction divise le 
nombre total de secondes par le nombre de secondes de cette unite. Si, par 
exemple, l'utilisateur a choisi d'obtenir un resultat en minutes et que la diffe- 
rence entre les deux instants est de 60 secondes, la valeur renvoyee sera done 1 
(60 divise par 60). 

Si l'utilisateur a choisi une unite non reconnue (ou a fourni des instants 
incorrects), la fonction renvoie false par defaut. 

Utilisation du script 

Cet exemple traduit une difference de sept jours dans toutes les unites : 



<?php 

// Prend comme exemples 1' instant courant et sept jours plus tard 

$instant1 = time( ) ; 

$instant2 = strtotime( '+7 days'); 

$unites = array) "secondes" , "minutes", "heures", "jours", "semaines"); 
foreach ($unites as $u) { 

Snunites = calcule_dif f_temps (Sinstantl , $instant2, $u); 

echo Snunites . " $u se sont ecoules entre " . date( "d-m-Y" , $instant1) 
. 1 et 1 . date( "d-m-Y" , $instant2); 

print "\n"; 

} 

?> 



Amelioration du script 

Cette fonction peut renvoyer des valeurs negatives si le deuxieme instant est 
avant le premier. Si, par exemple, $instant1 est le 7 juillet 2008 et $instant2 le 1 
juillet 2008, la difference renvoyee est de -6jours. Si seule la difference vous 
importe, remplacez la ligne Secart temps = $instant2 - Sinstantl par ce fragment 
de code : 



if ($instant2 > $instant1) { 
Secart_temps = abs ($instant2 - $instant1); 

} 



On obtiendra ainsi une valeur toujours positive ou nulle, quel que soit 
l'ordre des dates. 

Maintenant que nous avons etudie en detail les dates et les temps de PHP, 
fmissons par une courte presentation des dates et des temps en MySQL. 
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Format des dates MySQL 

Tout comme PHP, MySQL 5 utilise des etiquettes temporelles mais, sous leur 
forme native, celles-ci ne sont pas compatibles avec celles de PHP. MySQL reconnait 
trois types de temps/date pour les champs de ses tables : DATE (une date), TIME 
(une heure) et DATETIME (une date etune heure). II dispose egalement d'un type 
de date special, TIMESTAMP, qui fonctionne comme DATETIME sauf que les champs 
de ce type sont automatiquement initialises avec l'instant courant a chaque inser- 
tion ou mise ajour et qu'il utilise un mecanisme de stockage different. 

Bien qu'il existe plusieurs moyens de representer les donnees de ces types 
dans les requetes, le plus simple consiste a utiliser une chaine SQL. Vous pouvez, 
par exemple, utiliser '2008-09-26' comme une date, '13:23:56' comme une heure 
et '2008-09-26 13:23:56' comme une date et une heure. Pour convertir un instant 
PHP stocke dans la variable $instant sous une forme adaptee a MySQL, utilisez 
l'appel suivant : 



date ( 1 Y-m-d H:i:s', $instant). 



Bien que vous puissiez stocker les etiquettes temporelles PHP/ Unix dans des 
champs de type INT(10), l'utilisation des formats natifs de MySQL est bien plus 
pratique car vous pourrez ensuite employer ces donnees independamment de 
PHP. Pour obtenir une etiquette temporelle PHP a partir d'une requete SQL, 
utilisez la fonction SQL UNIX_TIMESTAMP( ), comme dans cet exemple : 



SELECT UNIX_TIMESTAMP(ma_date) FROM table; 



MySQL 5 dispose de nombreuses fonctions sur les dates, comme DATE FORMAT 
et DATE ADD. Pour en connaitre la liste complete, consultez la documentation en 
ligne sur http://www.mysql.com/. 



7 

TRAITEMENT DES FICHIERS 




Le traitement des fichiers joue un grand role dans 
la programmation en PHP. Pour accomplir votre 
travail, vous pouvez avoir besoin de creer des 
fichiers textes a la volee, de lire des fichiers deli- 
mites par des tabulations pour importer d' impor- 
tant volumes de donnees ou meme de creer des fichiers 
cache pour accelerer votre serveur et reduire les couts en 
terme d'utilisation du processeur. 

Permissions des fichiers 

PHP a besoin de permissions pour pouvoir manipuler les fichiers. Sur la plu- 
part des serveurs web, PHP peut lire assez facilement les fichiers, mais il n'a pas 
les permissions necessaires pour en creer ni pour les modifier. C'est une bonne 
chose car un acces en ecriture pour tout le monde donne generalement carte 
blanche aux pirates pour faire ce qu'ils veulent sur un serveur. 

Les serveurs Unix definissent trois jeux de permissions pour le proprietaire, 
le groupe et tous les autres utilisateurs, qui representent le monde. L'utilisateur 
qui possede le fichier est le proprietaire et tout autre utilisateur du systeme est alors 



considere comme faisant partie du monde (nous ne presenterons pas les groupes 
dans ce livre ; mettez les memes permissions au groupe qu'au monde) . 

Les serveurs securises traitent PHP comme un utilisateur veritablement 
non privilegie, qui ne peut ecrire nulle part sur le systeme. On ne souhaite pas 
que PHP possede des droits sur la machine car les utilisateurs externes 
influencent au moins en partie son comportement. Si un pirate trouve un 
moyen de compromettre PHP, il ne faudrait pas que cela se repande a tout le 
reste du systeme. 

II y a trois fagons d'acceder a un fichier et il y a done trois types de permis- 
sions, lecture, ecriture et execution, qui sont independantes : vous pouvez, par 
exemple, donner les droits de lecture et d'execution sans pour autant donner le 
droit d'ecriture. 

• Le droit de lecture autorise PHP a lire un fichier, e'est-a-dire a examiner son 
contenu. Pour les repertoires, ce droit permet de lire le contenu du reper- 
toire (mais pas necessairement d'y acceder, comme nous le verrons avec le 
droit d' execution) . 

• Le droit d' ecriture autorise PHP a modifier le contenu du fichier, de suppri- 
mer le fichier et, dans le cas d'un repertoire, d'y creer un fichier ou un sous- 
repertoire. 

• Le droit A' execution autorise PHP a executer des programmes, ce qui n'est 
generalement pas conseille car le serveur peut alors lancer des programmes 
malicieux. Si votre serveur a ete correctement configure pour le Web, les 
scripts PHP devraient s'executer correctement sans avoir besoin du droit 
d'execution. Pour les repertoires, cette permission a une autre signification 
puisqu'elle autorise l'acces aux fichiers contenus dans un repertoire (en 
supposant que vous ayez le droit de lecture sur ceux-ci) . Pour les repertoi- 
res, vous devez done souvent donner le droit d'execution en meme temps 
que le droit de lecture. 

Par defaut, la plupart des fichiers donnent le droit de lecture au proprietaire, 
au groupe et au monde. En outre, le proprietaire a generalement le droit d' ecri- 
ture. II en va de meme pour les repertoires, sauf qu'ils ont quasiment toujours le 
droit d'execution positionne en meme temps que le droit de lecture. 

Si vous souhaitez que PHP puisse creer des fichiers (plusieurs scripts de ce 
livre en ont besoin) , vous devez creer un repertoire ou PHP sera autorise a ecrire. 

La methode la plus classique pour octroyer des permissions consiste a le faire 
de facon absolue, en indiquant en une seule fois les droits du proprietaire, du 
groupe et du monde a l'aide d'une valeur numerique. La valeur pour donner les 
droits de lecture/ecriture au proprietaire, ainsi que le droit de lecture au groupe 
et au monde, par exemple, est 644 ou 6 concerne le proprietaire, le premier 4 le 
groupe et le deuxieme 4 le monde. Chaque chiffre est, en fait, un champ de bits 
represente en octal. Les valeurs les plus courantes sont : 

: aucun droit 

4 : droit de lecture 
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5 : droits de lecture/ execution 

6 : droits de lecture/ ecriture 

7 : tous les droits 1 

Ces permissions peuvent etre modifiees par un programme FTP ou en ligne 
de commande. 

Permissions avec un client FTP 

La plupart des clients FTP permettent de definir les permissions pour les 
fichiers et les repertoires. En general, il suffit de cliquer avec le bouton droit sur 
le nom d'un repertoire et de rechercher une option nommee CHMOD, Permis- 
sions ou Proprietes. Une boite de dialogue devrait alors apparaitre et vous permet- 
tre de definir les permissions. Si ce n'est pas le cas, lisez la documentation de 
votre client. 

Pour un repertoire, vous devriez utiliser la valeur 755 qui, sous Unix, corres- 
pond a tous les droits pour le proprietaire et aux droits de lecture/ecriture pour 
le groupe et le monde. Pour les fichiers, cette valeur devrait etre 644, ce qui 
correspond aux memes droits, moins l'execution. 

La ligne de commande 

Si vous avez acces a un shell Unix sur le serveur, vous pouvez donner les 
memes permissions que ci-dessus en utilisant une methode bien plus directe 
puisqu'il suffit de taper la commande suivante, qui fonctionne pour tout type de 
fichier et de repertoire : 



chmod 755 repertoire 



Problemes eventuels 

Parmi les nombreux problemes possibles, votre hebergeur peut faire tourner 
PHP sous un compte specifique, different du votre. Dans ce cas, vous devrez peut- 
etre donner le droit d'ecriture a tout le monde, ce qui risque d'etre interdit par 
votre hebergeur. II faudra alors vous contenter des acces en lecture, ce qui ne 
vous empechera pas de faire beaucoup de choses. 



1. NdR : Vous etes susceptible de rencontrer une autre notation, composee des caracteres "rwx". 
Retenez que "r" signifie "read" etvaut 4 (droit de lecture), "w" signifie "write" et vaut 2 (droit 
d'ecriture) et enfin "x" signifie "eXecute" etvaut 1 (droit d'execution). On retrouve les valeurs 
precedentes : les droits de lecture/execution valent bien 5 (4+1), les droits de lecture/ ecriture 
6 (4+2) et 1' ensemble des droits correspond a 7 (4+2+1). Vous trouverez souvent la notation "- 
rwx" a travers des clients FTR 
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N'oubliez pas que donner le droit d'ecriture sur un repertoire vous expose 
potentiellement a un certain nombre de problemes de securite. Vous ne devriez 
jamais permettre a PHP d'executer des fichiers dans un repertoire ou il a le droit 
d'ecrire - en fait, vous devriez interdire ce repertoire au serveur web. Si vous ne 
faites pas attention a la facon dont vos scripts nomment et accedent aux fichiers, 
vous allez au devant de gros ennuis. 

Recette 50 : Mettre le contenu d'un fichier dans une variable 

Supposons que vous vouliez placer tout le contenu d'un fichier texte dans 
une variable pour y acceder plus tard. C'est une bonne introduction aux acces 
fichiers car elle montre toutes les etapes de base. Voici comment recopier le 
contenu de fichier. txl dans la variable $do?inees_fichier : 



<?php 

$donnees_f ichier = 1 ' ; 

$fd = fopen('fichier.txt', r 1 ); 
if (!$fd) { 

echo "Erreur ! Impossible d'ouvrir le fichier."; 
die; 

} 

while (! feof($fd)) { 

$donnees_fichier .= fgets($fd, 5000); 

} 

fclose($fd) ; 
?> 



La fonction f open ( ) est une etape essentielle de la manipulation des fichiers ; 
elle agit comme une passerelle entre le systeme et PHP. Lorsque Ton ouvre un 
fichier, on precise la facon dont on souhaite y acceder : ici, on l'ouvre en lecture, 
mais on pourrait egalement l'ouvrir en ecriture. 

fopen( ) renvoie un identifiant de ressource qui servira aux autres fonctions 
pour effectuer leurs operations sur le fichier. Ici, ces fonctions s'appellent 
fgetsQ et feof ( ). 

f open ( ) attend deux parametres : le chemin d'acces au fichier et le mode 
d'ouverture. Voici les modes les plus utilises (n'oubliez pas que chacun d'eux 
peut echouer si vous n'avez pas les permissions correspondantes) : 

r Ouverture en lecture seule ; la lecture commence au debut du fichier. 

w Ouverture en ecriture seule (voir la section suivante) ; l'ecriture com- 
mence au debut du fichier et ecrase done le contenu de celui-ci. Si le 
fichier n'existe pas, f open( ) tente de le creer. 
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x Creation et ouverture en ecriture seule ; l'ecriture commence an debut du 
fichier. Si le fichier existe deja, l'appel renvoie false. Ce mode n'est dispo- 
nible qu'a partir de PHP 4.3.2. 

a Ouverture en ecriture seule ; l'ecriture commence a la fin du fichier. Si le 
fichier n'existe pas, f open( ) tente de le creer. 

Les modes suivants ouvrent le fichier a la fois en lecture et en ecriture. Ne les 
utilisez que si vous savez vraiment ce que vous faites : 

w+ Ouverture en lecture et en ecriture ; l'acces commence au debut du 
fichier et supprime son contenu eventuel. Si le fichier n'existe pas, 
f open ( ) tente de le creer. 

r+ Ouverture en lecture et en ecriture ; l'acces commence au debut du fichier. 

a+ Ouverture en lecture et en ecriture ; l'acces commence a la fin du fichier. 
Si le fichier n'existe pas, f open ( ) tente de le creer. 

x+ Creation et ouverture en lecture et en ecriture ; l'acces commence au 
debut du fichier. Si le fichier existe deja, l'appel renvoie false. Ce mode 
n'est disponible qu'a partir de PHP 4.3.2. 

Si Ton revient au script, la ligne $f d = f open ( 'fichier . txt ' , ' r ' ) signifie done 

Ouvre le fichier en lecture seule et affecte I'identifiant de ressource a $fd. Pour savoir si 
l'ouverture s'est bien passee, il suffit de tester que $f d a une valeur. 

Nous sommes maintenant pret a effectuer le veritable traitement dans une 
boucle. La fonction feof ( ) indiquant si Ton a atteint la fin du fichier, on 1' uti- 
lise comme condition de sortie de la boucle. L'appel a fgets() recupere la 
ligne suivante du fichier jusqu' a 5 000 octets a la fois. Ces donnees sont ajou- 
tees a la fin de $donnees_f ichier. Lorsque la lecture est finie, on appelle 
fclose($fd) pour liberer les ressources du systeme et lui indiquer qu'on a 
termine d'acceder au fichier. 

Amelioration du script 

De nombreux scripts traitent les fichiers ligne par ligne au lieu de les stocker 
dans une seule variable enorme. Cela arrive assez souvent, notamment lorsque 
Ton examine les listes d'elements produits par d'autres programmes (la recette 
n°55 : "Lire un fichier CSV", montre un exemple ou Ton a besoin de lire ligne 
par ligne le contenu d'un fichier). Pour cela, il suffit de modifier le code a l'inte- 
rieur de la boucle, comme dans cet exemple qui affiche toutes les lignes qui 
contiennent chapitre. 



while (! feof(Sfd)) { 

$donnees_f ichier = fgets($fd, 5000); 
if (strstr($donnees_f ichier, 'chapitre') !== FALSE) { 
print $donnees_f ichier; 

} 

} 
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Vous remarquerez que Foperateur de concatenation . = du script initial a ete 
remplace par Foperateur d'affectation. Cette modification subtile est tres impor- 
tante. 

Selon la configuration de votre serveur, f open ( ) peut lire des donnees a partir 
d'une URL avec un appel comme celui-ci : 



$fr = fopen( 'http://www.yahoo.fr' , 'r'); 



Cependant, si vous utilisez votre propre serveur, vous devez etre tres prudent 
lorsque vous autorisez f open ( ) a acceder des fichiers situes a l'exterieur de votre 
site : certains vers PHP ont utilise cette fonctionnalite a leur profit. Vous devez 
notamment faire tres attention aux noms de fichiers -; assurez-vous que l'utilisa- 
teur n'ait pas son mot a dire sur les noms des fichiers ouverts par f open ( ) ! Pour 
desactiver cette fonctionnalite, initialisez l'option allow url f open a false, 
comme on l'a vu a la section "Options de configuration et le fichier php.ini . Pour 
disposer de fonctionnalites plus puissantes, utilisez plutot cURL pour acceder 
aux sites web, comme explique au Chapitre 11. 

Problemes eventuels 

L'erreur la plus classique est due au fait que PHP n'a pas les permissions de 
lire le fichier que vous tentez d'ouvrir. Certains fichiers ne devraient pas pouvoir 
etre lus par PHP (ceux qui contiennent des mots de passe, par exemple) et vous 
pouvez recevoir un message d'erreur si vous tentez d'ouvrir Fun d'eux. En ce cas, 
verifiez les permissions comme on Fa explique dans la section "Permissions des 
fichiers". 

Cela nous conduit a un probleme plus important : n'autorisez jamais, en 
aucun cas, un utilisateur a ouvrir un fichier avant de verifier qu'il a de bonnes rai- 
sons de le faire. N'oubliez pas que vous ne pouvez pas avoir confiance dans ce 
qu'un utilisateur vous envoie. Si les noms de fichiers reposent de trop pres sur les 
donnees fournies par Futilisateur, celui-ci peut tres bien parvenir a acceder a 
n'importe quel fichier de votre site. Vous devez done appliquer des regies qui res- 
treignent les acces aux repertoires des fichiers sur votre serveur. 

Vous devriez egalement verifier les donnees contenues dans les fichiers que 
deposent les utilisateurs. La recette n°54, "Deposer des images dans un reper- 
toire", montre comment verifier le type, Femplacement et la taille d'un fichier 
depose et bien d'autres choses encore. 

Recette 51 : Ecrire dans un fichier 

Voici comment ecrire une chaine dans un fichier : 



<? 

$donnees_f ichier = "Bonjour fichier. \nDeuxieme ligne."; 
$fd = f open (' fichier . txt ' , 'w'); 



112 Chapitre 7 



if (!$fd) { 

echo "Erreur ! Impossible d ' ouvrir/creer le fichier."; 
die; 

} 

fwrite($fd, $donnees_f ichier) ; 

fclose($fd) ; 

?> 



Vous remarquerez que la chaine contient un retour a la ligne explicite. Affiche 
sur une machine Unix, le contenu du fichier aura done cet aspect : 



Bonjour fichier. 
Deuxieme ligne. 



Le separateur entre les deux lignes est un retour a la ligne. Sur Unix et Mac, 
il s'agit d'un simple caractere represente en PHP par \n entre des apostrophes 
doubles. 

Cependant, avec Windows, ce retour a la ligne est represente par la sequence 
\r\n ("retour chariot, puis nouvelle ligne"). 

Par consequent, vous devez faire un peu attention si vous vous souciez de la 
portabilite des fichiers textes ; sinon, un fichier Unix apparaitra sur Windows 
comme une seule longue ligne et, inversement, Unix verra un retour chariot a la 
fin de chaque ligne d'un fichier Windows. 

Si vous le souhaitez, vous pouvez explicitement decider que le retour a la 
ligne sera \r\n mais, pour des raisons de portabilite, ajoutez plutot un t a la fin 
du mode fourni a f open( ). Avec le mode wt, les caracteres \n seront automatique- 
ment traduits en sequences \ r\n sous Windows. 

Recette 52 : Tester I' existence d'un fichier 

Si vous tentez d'ouvrir un fichier qui n'existe pas, f open ( ) produit des messa- 
ges d'erreur, tout comme et unlink () lorsque vous essayez de supprimer un 
fichier inexistant. Pour tester l'existence d'un fichier avant d'effectuer des 
operations sur celui-ci, utilisez la fonction f ile_exists( ) : 



<? 

if (file_exists( 'fichier.txt ') ) { 
print 'OK, fichier.txt existe.'; 

} 



Cette fonction renvoie true si le fichier existe, false sinon. 
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Recette 53 : Supprimer des fichiers 

Pour supprimer un fichier sous Unix, utilisez la fonction unlink ( ) : 



<? 

if (unlink) "fichier.txt" ) ) { 

echo "fichier.txt supprime."; 
} else { 

echo "fichier.txt : echec de la suppression."; 

} 

?> 



Vous devez, bien sur, avoir les permissions adequates pour supprimer un 
fichier. Cependant, le plus grand danger, ici, est que vous pouvez supprimer un 
fichier par inadvertance : la suppression d'un fichier sous Unix est definitive car 
il n'y a ni poubelle ni commande undelete. La seule facon de recuperer des donnees 
consiste a utiliser les sauvegardes de l'administrateur. 

Si vous comptez autoriser les utilisateurs a supprimer des fichiers, vous devez 
done etre tres prudent. 

Recette 54 : Deposer des images dans un repertoire 

Deposer periodiquement 5 ou 10 photos par semaine sur un serveur web est 
une operation penible. Lorsquej'ai mis a jour mon serveur, j'ai du sauvegarder 
les photos sur mon disque dur, lancer un client FTP, les mettre sur le site, puis dif- 
fuser l'URL a tous ceux qui etaient interesses. II existe de nombreux programmes 
de galeries photos qui effectuent ces taches, mais la plupart sont tres compliques 
et je voulais faire quelque chose d'un peu plus simple. 

Comme tout bon programmeur faineant, j'ai done decide d'automatiser ce 
processus pour disposer d'un systeme assez complet permettant aux utilisateurs 
de deposer des images (et uniquement des images) dans un repertoire. Je voulais 
egalement bloquer les images trop grosses et produire un code HTML complet, 
avec des attributs height et width. La premiere partie du systeme est un formu- 
laire nomme depot.html, qui permet de saisir les informations sur les images : 



<table border="0" cellpadding="10"> 

<f orm act ion="t rait e_image . php" enctype=" multipart /form-data" 
method="post"> 

<tr> 

<td valign=top><strong>Fichier image :</strong></td> 

<td><input name="f ichier" type="f ile"><br> 

Les fichiers images doivent etre aux formats JPEG, GIF, ou PNG. 

</td> 
</tr> 
<tr> 

<td valign="top"><strong>Repertoire cible :</strong></td> 
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<td> 

<select name=" emplacement "> 

<option value="articles" selected>Images d ' articles</option> 
<option value=" bannieres">Bannieres/Pubs</option> 
</select> 
</td> 
</tr> 
<tr> 

<td valign="top"><strong>Nom du fichier (Facultatif) :</strong></td> 
<td><input name="nouv_nom" type="text" size="64" maxlength="64"></td> 

</tr> 

<tr> 

<td colspan="2"> 
<div align="center"><input type="submit" value="Deposer"></div> 

</td> 
</tr> 
</f orm> 
</table> 

Le script qui traite ce formulaire s'appelle traite_image.php. Ses premieres 
lignes consistent a initialiser quelques variables de configuration : 

<?php 

/* Configuration */ 

$racine = " /home/www/wcphp/ images " ; /* Repertoire racine des images */ 

$racine_url = "http://www.exemple.com/images"; /* Racine de l'URL */ 

$largeur_max = 420; /* Largeur max d'une image */ 

$hauteur_max = 600; /* Hauteur max d'une image */ 

$ecrase_images = false; /* Autorise l'ecrasement */ 

/* Sous-repertoires autorises */ 

$rep_cibles = array( "articles" , "bannieres" ) ; 

/* Fin de la configuration */ 



La variable $racine doit contenir le repertoire sous lequel vous voulez placer 
les images, tandis Sracine url contient le nom qui sera utilise pour les visualiser 
a partir d'un navigateur. Les elements de Srep cibles sont des sous-repertoires 
de $racine : ce sont les seuls emplacements ou les utilisateurs seront autorises a 
deposer leurs images. 

Apres cette configuration, verifions d'abord que le script fonctionne - tout 
depend de la disponibilite de la fonction getimagesize( ) : 



if ( !f unction_exists(getimagesize) ) { 
die ("La fonction getimagesize( ) est requise."); 

} 
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L' extraction des informations a partir du formulaire suit la procedure classique : 



/* Recupere les informations du depot. */ 
$emplacement = strval($_POST[ ' emplacement ']) ; 
$nouv_nom = strval($_POST[ 1 nouv_nom' ] ) ; 
$fichier = $_FILES[ ' f ichier 1 ] [ ' tmp_name ' ] ; 
$nom_f ichier = $_FILES[ 1 f ichier 1 ][' name '] ; 



Nous devons determiner le nom que nous voulons donner au fichier sur le 
serveur. Ce faisant, nous voulons nous assurer que le nom ne comporte pas de 
caracteres bizarres et qu'il sera impossible de quitter le repertoire cible en utili- 
sant des barres de fraction ( / ) . Une expression reguliere permet de remplacer en 
une seule etape tous les caracteres non admis. Apres ce traitement, $nouv_nom 
contient le nouveau nom du fichier depose : 



/* Supprime les caracteres non admis dans le nom cible */ 
if ($nouv_nom) { 

$nouv_nom = preg_replace ( ' / [ "A-Za-z0-9_. - ] / ' , '', $nouv_nom) ; 
} else { 

$nouv_nom = preg_replace ( ' / [ "A-Za-z0-9_. - ] / ' , '', $nom_f ichier) ; 

} 



L'etape suivante consiste a valider les parametres. On commence par verifier 
que le repertoire cible fait partie de la liste des repertoires autorises : 



/* Validation des parametres. */ 

if ( ! in_array ($emplacement , $rep_cibles) ) { 

/* Emplacement incorrect */ 

die( "Repertoire cible non autorise."); 
} else { 

$racine_url .= "/Semplacement " ; 

} 



Voici une verification qui s'assure que Ton a bien indique le nom du fichier a 
deposer : 



if (!$f ichier) { 
/* Aucun fichier */ 
die("Aucun fichier a deposer."); 

} 



II est temps maintenant de valider les donnees elles-memes. Pour cela, on ini- 
tialise les types de fichiers autorises, puis on appelle getimagesize( ) pour obtenir 
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les dimensions de l'image deposee et son type ($attr sera utilisee plus tard dans 
le script) . 



/* Verification du type du fichier. */ 
$types_f ichiers = array( 

"image/j peg" => "jpg", 

"image/pi peg" => "jpg", 

"image/gif" => "gif", 

"image/png" => "png", 

); 

$largeur = null; 
$hauteur = null; 

/* Extrait le type MIME et la taille de l'image. */ 
$inf os_image = getimagesize($f ichier) ; 
$type_f ichier = $infos_image[ "mime" ] ; 
list($largeur, $hauteur, $t, $attr) = $inf os_image ; 



A partir des parametres que Ton vient d'extraire, nous nous assurons que 
l'image est dans un format autorise, nous en deduisons le suffixe du nom du 
fichier et nous verifions qu'il n'est pas trop gros : 



/* Verification du type. */ 

if ( !$types_fichiers[$type_fichier] ) { 

die( "L'image doit etre au format JPEG, GIF ou PNG."); 
} else { 

$suffixe_f ichier = $types_f ichiers [$type_f ichier] ; 

} 

/* Verification de la taille. */ 

if ($largeur > $largeur_max | | $hauteur > $hauteur_max) { 

die( "Slargeur x Shauteur excede $largeur_max x $hauteur_max. " ) ; 

} 



De temps en temps, quelqu'un depose un fichier avec un suffixe incorrect 
(non reconnu ou mal orthographie) . Ce n'est pas un probleme crucial mais cela 
perturbe le type MIME lorsque le serveur l'envoie. Comme on connait le suffixe 
correct, nous pouvons l'utiliser pour corriger un eventuel suffixe incorrect : 
truc.jpog pourrait ainsi devenir lruc.jpog.jpg. 

Apres avoir trouve le nom final pour le fichier depose, nous stockons son 
chemin complet dans Snouv chemin : 



/* Force le suffixe du fichier. */ 

$nouv_nom = preg_replace ( ' / \ . ( j pe?g | gif | png)$/i ' , ""); 

$nouv_nom .= $suffixe_f ichier; 

$nouv_chemin = "$racine/Semplacement/$nouv_nom" ; 
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Maintenant que nous avons le nom final, nous pouvons verifier qu'il n'existe 
pas deja un fichier de ce nom si Ton n'a pas active l'ecrasement des fichiers : 



if ( ( !$ecrase_images) && f ile_exists ($nouveau_chemin) ) { 
die("Le fichier existe deja ; il ne sera pas ecrase."); 

} 



On peut alors copier le fichier vers sa destination finale et s'assurer que cette 
copie a bien fonctionne : 



/* Copie le fichier vers son emplacement final. */ 
if ( !copy($f ichier, $nouv_chemin) ) { 
die("Echec de la copie."); 

} 



Si Ton est arrive ici, c'est que le depot s'est bien passe et il nous reste simple- 
ment a produire un peu de HTML pour fournir a l'utilisateur un lien vers ce 
fichier : 



$url_image = "$racine_url/$nouv_nom" ; 

/* Affiche l'etat. */ 

print "HTML pour l'image :</strong><br> 

<textarea cols=\"80\" rows=\ "4\ ">" ; 
print "<img src=\ "$url_image\ " $attr alt=\ "$nom_f ichier\ " 

border=\"0\"/>" ; 
print "</textarea><br>" ; 

print '<a href ="depot . html">Deposer une autre image ?</a>';?> 



Utilisation du script 

Ce script exige que PHP ait la permission d'ecrire dans tous les repertoires 
cibles de $rep_cibles. En outre, il a besoin du module GD, une extension PHP 
qui permet d'analyser et de creer des fichiers images. La plupart des serveurs 
Finstallent par defaut ; si ce n'est pas le cas du votre, reportez-vous a la recette 
n°28, "Ajouter des extensions a PHP". 

II vous reste seulement a faire pointer votre navigateur vers depot.html et PHP 
fera le reste. 

Problemes eventuels 

Mis a part les classiques problemes de permissions, le plus gros probleme est 
la securite. Tel qu'il est ecrit, tout idiot qui a acces a PURL du script peut deposer 
autant d'images qu'il le souhaite et eventuellement ecraser les votres. Si le script 
n'est pas derriere un pare-feu, vous pouvez lui ajouter une fonction de connexion 
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pour empecher les acces non autorises, comme on l'explique dans la recette 
n°63, "Systeme de connexion simple". 

Amelioration du script 

Vous pouvez imposer une limite a la taille d'un fichier en utilisant la variable 
$_FILES[ ' fichier ' ] [ ' size ' ]. II suffit alors d'ecrire un test comme celui-ci : 



if ($_FILES[ 'fichier' ][ 'size' ] > $taille_max) { 
$erreur_f atale = "La taille de ce fichier depasse $taille_max octets."; 

} 



NOTE Etudiez egalement la recette n °13, "Empecher les utilisateurs de deposer de gros fichiers ", car 
elle explique comment imposer une limite globale sur la taille des fichiers deposes. 

Recette 55 : Lire un fichier CSV 

Une tache de programmation classique consiste a transformer des don- 
nees provenant de feuilles de calcul Excel pour les mettre sous un format 
comme HTML ou comme des lignes d'une table MySQL. Si Ton devait tous 
travailler avec le format Excel (XLS), ce serait un veritable probleme. Heureu- 
sement, Excel et OpenOffice.org permettent d'exporter un fichier Excel au 
format CSV ( Comma-Separated Value) , dans lequel les rangees de donnees sont 
organisees en lignes ou chaque champ est separe du suivant par une virgule. 
Voici un exemple : 



"Aeroport " , "Ville" , "Activite" 
" LON" , " Londres" , "Musees" 
"PAR" , "Paris" , "Restaurants" 
"SLC","Salt Lake City", "Ski" 



Bien que vous pourriez penser qu'il ne s'agit que de lire les lignes et de les 
diviser en utilisant une virgule comme delimiteur, vous devez egalement vous 
occuper des apostrophes, des anti-slash et d'autres details mineurs de ce format. 
Cependant, la plupart des langages disposent de fonctionnalites permettant de 
gerer ceci et PHP n'y fait pas exception. Grace a la fonction predefinie f getcsv( ), 
le traitement des fichiers CSV est tres simple. fgetcsv() fonctionne exactement 
comme f gets ( ) , mis a part qu'elle renvoie un tableau contenant les valeurs de la 
ligne courante au lieu de renvoyer une chaine. Voici un script tres simple qui 
traite un fichier CSV depose via le champ f ic csv d'un formulaire : 



<table> 
<tr> 

<th>Champ 1</th> 
<th>Champ 2</th> 
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<th>Champ 3</th> 
</tr> 

<?php 

$fn = $_FILES[ "f ic_csv" ] [ "tmp_name" ] ; 
$fd = fopen($fn, "r") ; 
while (Ifeof ($fd)) { 

$champs = fgetcsv($fd) ; 

print "<tr>"; 

print "<td>$champs[0]</td><td>$champs[1 ]</td><td>$champs[2]</td>" ; 
print "</tr>"; 

} 

fclose($fd) ; 
?> 

</table> 



Comme vous pouvez le constater, ce script affiche les trois premieres colonnes 
du fichier CSV sous la forme d'un tableau HTML. 

Parfois, le fichier utilise des tabulations a la place des virgules pour delimiter 
les champs. Pour lire ce format, il suffit de remplacer l'appel precedent a 
f getcsv ( ) par une ligne comme celle-ci : 



$champs = fgetcsv($fd, 0, "\t"); 



Le troisieme parametre indique le delimiteur ; assurez-vous d'utiliser des 
apostrophes doubles autour de \t pour que cette sequence soit correctement 
interpretee. Le second parametre est la longueur maximale de la ligne du fichier 
CSV, indique que Ton n'impose pas de limite a cette longueur. 



8 

GESTION DES UTILISATEURS 
ET DES SESSIONS 




Le concept initial du World Wide Web allait un 
peu plus loin qu'une simple suite de pages et 
de medias statiques : il avait pour but de faciliter 
la publication des pages et la navigation entre elles, 
mais le Web n'est devenu reellement utile que lorsque 
les sites ont commence a offrir du contenu dynamique. 

La plupart de ces contenus sont specifiques a une session - un panier virtuel, 
par exemple, est lie a une session : ses informations disparaissent lorsqu'on 
ferme le navigateur ou qu'un autre utilisateur se connecte. 

Les outils et les techniques pour suivre les sessions web ont ete concus apres 
coup et sont des solutions ad hoc - rien qui ne ressemble a un travail raisonnable. 
Parfois tout se brouille et vous devez faire attention a la securite (comme tou- 
jours), mais PHP peut vous aider a resoudre les difncultes. 

Suivi des donnees des utilisateurs avec des cookies 
et des sessions 



Pour savoir ce que fait un utilisateur precis sur votre site, vous devez stocker 
des informations sur cet udlisateur, comme son nom, son mot de passe, le temps 



ecoule entre ses visites, ses preferences, etc. En programmation web, on utilise 
pour cela deux techniques connues sous les noms de cookies et de sessions. 

Les cookies 

Les cookies sont des fragments de donnees stockes sur la machine de l'utilisa- 
teur. Lorsque celui-ci accede a plusieurs pages de votre site, son navigateur ren- 
voie tous les cookies valides a votre serveur lors de ces acces. Le stockage de 
donnees sur l'ordinateur d'un utilisateur sans son consentement etant un risque 
potentiel pour sa securite, vous n'avez pas de controle direct sur la facon dont ce 
stockage est effectue. Si vous respectez certaines regies que le navigateur (et l'uti- 
lisateur) ont mises en place, le navigateur acceptera vos cookies et les renverra 
dans les circonstances appropriees. Un cookie qui a ete accepte est dit configure. 

Avantoges 

• Les cookies peuvent stocker des informations pendant des annees. 

• Les cookies fonctionnent bien avec les serveurs distribues dont la charge est 
equilibree (cas des sites a fort trafic) puisque toutes les donnees sont sur la 
machine de Futilisateur. 

Inconvenients 

• Vous devez soigneusement suivre les regies ; sinon, de nombreux navigateurs 
n'accepteront pas vos cookies et ne vous informeront pas de ce refus. 

• La taille des cookies est limitee (il est generalement preferable de ne pas 
depasser 512 Ko). 

• S'ils le souhaitent, les utilisateurs peuvent aisement supprimer les cookies. 

• Les cookies sont generalement specifiques a un utilisateur sur un ordinateur. 
Si cet utilisateur passe sur une autre machine, il n'utilisera pas les anciens 
cookies. 

Les sessions 

Les sessions sont formees d'un identifiant de session unique et d'un meca- 
nisme de stockage special sur votre serveur. Les donnees etant sur le serveur, l'uti- 
lisateur n'a aucun moyen de les manipuler. 

Avantoges 

• Bien que la plupart des sessions fonctionnent en placant leur identifiant dans 
un cookie, PHP et les autres systemes de programmation web savent creent 
des sessions sans utiliser de cookies. Cette methode fonctionne done quasiment 
toujours. 

• Vous pouvez stocker autant d' informations de session que vous le souhaitez. 
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• Les utilisateurs ne peuvent generalement ni lire ni modifier les donnees de 
session ; dans le cas contraire, vous avez le controle sur ce processus de modi- 
fication. 

Inconvenients 

• Les sessions sont generalement specifiques a une fenetre de navigateur ou a 
un seul processus navigateur. Lorsque vous fermez cette fenetre, a moins 
d'avoir stocke l'identifiant de session dans un cookie persistant, l'utilisateur 
ne peut plus recuperer les anciennes valeurs. En utilisant un systeme de 
connexion, vous pouvez cependant associer un identifiant de session a un 
nom d'utilisateur. 

• Avec une installation de PHP de base, les sessions sont specifiques a un serveur. 
Si vous avez un serveur pour les ventes et un autre pour le contenu, le premier 
ne verra aucune donnee de session du deuxieme. Vous pouvez cependant 
adapter le systeme de stockage des sessions pour resoudre ce probleme. 

• L'identifiant de session etant une donnee lue et envoyee par l'utilisateur, des 
espions peuvent acceder aux sessions si vous ne prenez pas quelques precau- 
tions. 

En termes abstraits, vous pouvez considerer les sessions comme des cookies 
ameliores. Bien que certaines donnees (comme l'identifiant de session) soient 
encore stockees sur la machine de l'utilisateur, les veritables donnees sont tou- 
jours sur le serveur. II existe de nombreuses implementations possibles des sessions, 
mais l'idee de base est toujours la meme. 

N'oubliez pas, cependant, que si vous ne voulez pas que les utilisateurs puis- 
sent lire ou modifier certaines donnees, vous devez les placer dans une session, 
pas dans un cookie. Vous devez verifier les cookies exactement de la meme facon 
que les donnees provenant des formulaires car elles viennent du client et sont 
done facile a falsifier. 

Recette 56 : Creer un message "Heureux de vous revoir 
Nomlltilisateur !" avec les cookies 

Une astuce a peu de frais qu'utilisent de nombreux sites consiste a afRcher 
un message "Heureux de vous revoir" aux utilisateurs qui reviennent sur le site. Si 
vous donnez votre nom au site, il peut l'utiliser pour vous souhaiter la bienvenue. 

Pour illustrer un moyen de le faire, voici un script qui stocke les informations 
sur l'utilisateur dans un cookie et affiche ce cookie s'il est disponible : 



<?php 

if (isset($_REQUEST["nom_utilisateur"])) { 
setcookie( "nom_utilisateur_stocke" , 

$_REQUEST[ "nom_utilisateur" ] , time() +604800, "/"); 
$_C00KIE[ "nom_utilisateur_stocke" ] = $_REQUEST[ "nom_ut.ilisat.eiir" ] ; 
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} 

if (isset($_COOKIE["nom_utilisateur_stocke"])) { 
Sutilisateur = $_COOKIE[ " nom_utilisateur_stocke" ] ; 
print "Heureux de vous revoir <b>$utilisateur</b> !"; 

} else { 

?> 

<form method="post"> 

Norn Utilisateur : <input type="text" name="nom_utilisateur" /> 
</f orm> 
<?php 
}?> 



Avec PHP, l'acces et le stockage des cookies impliquent deux mecanismes 
differents. Le tableau S COOKIE contient les cookies que vous envoie le client ; il 
fonctionne comme les tableaux S POST et S GET. 

Pour mettre en place des cookies, utilisez la fonction setcookie ( ) en lui passant 
trois parametres : 

• le nom du cookie, nom_utilisateur_stocke dans le script ; 

• la valeur du cookie ; 

• la date d'expiration du cookie sur la machine de l'utilisateur, exprimee sous la 
forme d'une etiquette temporelle Unix. Le script utilise time ( ) + 604800, soit 
sept jours a partir de la date courante (voir le Chapitre 6 pour plus de details) . 

Vous pouvez egalement lui passer trois autres parametres facultatifs : 

• Un chemin pour limiter les emplacements de votre site pour lesquels le coo- 
kie est valide. Cela fonctionne comme un repertoire. Si vous voulez, par 
exemple, que le cookie ne soit valide que pour ce qui est place sous /contenu/ 
sur votre site, utilisez /contenu/ pour ce parametre. Si vous voulez qu'il soit 
valide partout, preferez / . 

• Un domaine de validite du cookie. Si vos hotes s'appellent www.exemple.com et 
ventes.exemple.com et que vous souhaitez que le cookie soit valide pour les 
deux, utilisez . exemple . com comme parametre de domaine. Si vous n'avez 
qu'un seul serveur web dans votre domaine, ce parametre ne vous concerne 
pas. 

• Un indicateur de connexion securisee. Si ce parametre vaut 1 , le navigateur 
ne devra envoyer le cookie que si la connexion est securisee. 

Problemes eventuels 

Plusieurs problemes peuvent survenir lors de la mise en place et la recuperation 
des cookies : 

Vous avez envoye des donnees au navigateur de l'utilisateur avant d'appeler 
setcookie(). 

Les informations sur les demandes de cookie se trouvent dans l'en-tete 
HTTP d'une reponse du serveur. Vous ne pouvez done pas envoyer au 
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client des donnees faisant partie du document avant d'appeler setcoo- 
kie( ) ; en d'autres termes, vous ne devez pas afficher quoi que ce soit, ni 
appeler une operation qui provoquerait un affichage. Si les avertissements 
sont actives, PHP vous indiquera cette erreur. 

Ce probleme est souvent du a une gestion laxiste des espaces dans vos 
fichiers PHP. Si des lignes blanches ou des espaces precedent la balise <? 
qui debute la secdon de code PHP, ce probleme surviendra forcement. 
Cette remarque s'applique egalement aux fichiers inclus avant l'appel a 
setcookie( ) ; ces fichiers ne doivent pas non plus avoir d'espace apres la 
balise fermante ?>. 

Le navigateur de l'utilisateur a rejete le cookie. 

Si le navigateur n'accepte pas le cookie, vous n'aurez aucun retour. Pour 
verifier la presence d'un cookie, appelez la fonction isset() pour le 
rechercher dans le tableau $_COOKIE. La cause la plus classique de rejet 
d'un cookie est un domaine incorrect (les navigateurs n'acceptent genera- 
lement pas les cookies pour les domaines qui ne correspondent pas a celui 
du serveur qui fait la demande) . 

Quelqu'un a mis un mauvais parametre. 

Les cookies, comme tout ce qu'envoie un client, peuvent aisement etre 
fabriques de toute piece. Ne leur faites pas confiance et verifiez leurs 
valeurs comme celles de n'importe quelle donnee provenant d'un formu- 
laire. 

Vous tentez de stocker un tableau dans une variable cookie. 

Ce n'est pas possible, mais vous pouvez stocker un tableau serialise (voir la 
recette n°5 : "Transformer un tableau en variable scalaire qui pourra etre 
restauree ulterieurement"). 

Recette 57 : Utiliser les sessions pour stocker 
temporairement des donnees 

Les interfaces graphiques tradidonnelles necessitent que l'utilisateur saisisse 
un certain nombre d' informations reparties sur plusieurs formulaires. Vous pou- 
vez egalement avoir a stocker un ensemble de donnees tant que le navigateur de 
l'udlisateur est ouvert (pour un panier virtuel, par exemple). Bien qu'il soit tech- 
niquement possible d'utiliser pour cela des champs caches, ce n'est pas souhaita- 
ble dans la plupart des cas du fait de la complexite de mise en ceuvre et les 
problemes de gesdon des etats du navigateur. 

En revanche, vous pouvez udliser le systeme integre de gestion des sessions 
de PHP pour stocker et acceder aux donnees pour une session de navigateur 
donnee. Les sessions PHP s'occupent quasiment de tout le travail de mise en 
place des cookies (ou d'un idendfiant de session) et du stockage des donnees sur 
votre serveur. La seule chose qui vous reste a faire est de lancer le gestionnaire de 
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sessions dans vos scripts a l'aide de la fonction session start ( ), puis d'acceder 
aux donnees via le tableau S SESSION. 

Voici un formulaire qui utilise les sessions pour capturer, resumer et modifier 
les donnees. Commencons par un script de formulaire simple. La premiere ligne 
lance la session et les deux lignes suivantes extraient les donnees de session 
existantes : 



<? 

session_start( ) ; 

$nom = $_SESSI0N[ "nom" ] ; 
$couleur = $_SESSI0N[ "couleur" ] ; 



Pour les nouveaux visiteurs, ces deux variables ne seront pas initialisees mais, 
s'il reviennent a ce formulaire a partir de n'importe ou, cette partie du script cap- 
turera les anciennes valeurs. Pour afficher le formulaire, on utilise ces anciennes 
valeurs comme valeurs par defaut : 



print '<form action=" vue_session . php" method="post"> ' ; 

print 'Comment vous appelez-vous ? '; 

print '<input name="nom" type="text" value=" ' . $nom . '" /><br/>'; 

print 'Quelle est votre couleur preferee ? '; 

print '<input name="couleur" type="text" value=" ' .$couleur. '" /><br/>'; 

print '<input type="submit'7 >'; 

print '<input type="submit" name="raz" value="Reinitialisation" />'; 
?> 



Vous remarquerez qu'on a ajoute un bouton de validation supplementaire 
afin de remettre a zero les valeurs de la session (nous verrons plus loin comment 
faire) . Voici maintenant le script vue_session.php qui stocke les donnees du formu- 
laire et autorise Futilisateur a revenir en arriere pour modifier les valeurs qu'il a 
saisi. On lance d'abord la session, puis on verifie que le nom et/ ou la couleur ont 
ete envoyes comme donnees de formulaire, auquel cas on place egalement ces 
valeurs dans des variables de session : 



<? 

session_start( ) ; 

if ($_REQUEST["nom"]) { 

S_SESSION["nom"] = $_REQUEST[ "nom" ] ; 

} 

if ($_REQUEST[ "couleur"]) { 

S_SESSI0N[ "couleur"] = $_REQUEST[ "couleur" ] ; 

} 
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La partie suivante consiste a tester si l'utilisateur a clique sur le bouton Reini- 
tialisation du formulaire. Si c'est le cas, on utilise la fonction unset ( ) pour sup- 
primer les valeurs de session : 



if ($_REQUEST["raz"]) { 
unset ( S_SESSI0N [ "nom" ] ) ; 
unset($_SESSION[ "couleur" ] ) ; 

} 



Nous savons maintenant que le tableau $_SESSI0N contient toutes les valeurs 
correctes ; nous pouvons alors les utiliser pour afficher les informations a destination 
de l'utilisateur : 



$nom = S_SESSI0N[ "nom" ] ; 
$couleur = $_SESSI0N[ "couleur" ] ; 

if ($nom) { 

print "Vous vous appelez <b>$nom</b>.<br />"; 

} 

if (Scouleur) { 

print "Votre couleur preferee est le <b>$couleur</b>.<br />"; 

} 



Enfin, on autorise l'utilisateur a revenir en arriere pour modifier ou suppri- 
mer les valeurs. Tout ayant deja ete fait dans les deux scripts precedents, il suffit 
de placer des liens vers les bons endroits : 



print '<a href ="f ormulaire_session . php">Modif ier les details</a> ' ; 
print ' | <a href =" vue_session . php?clear=1 ">Reinitialiser</a> ' ; 
?> 



Bien que ce soit un exemple tres simple, il permet de montrer que les ses- 
sions nous facilitent beaucoup la vie lorsque Ton a besoin de creer des formulaires 
en plusieurs parties ou de suivre a la trace d'autres informations. 

Problemes eventuels 

Tout comme pour les cookies, vous devez appeler session start ( ) au 
debut du script, avant d'envoyer la moindre donnee, aim que le serveur puisse 
configurer l'identifiant de session sur le client. Dans le cas contraire, le client 
n'acceptera pas cet identifiant et le serveur ne pourra pas associer le client a 
une session. 
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Recette 58 : Verifier qu'un navigateur accepte les cookies 



Pour savoir si un navigateur accepte les cookies, vous devez effectuer une 
verification en deux etapes, dans deux requetes web differentes. Le navigateur 
du client doit faire deux requetes car il ne configure un cookie que lorsqu'il 
obtient une reponse a la premiere requete. 

Ces deux requetes peuvent etre envoyees par le meme script, mais vous devez 
faire attention a ne pas placer le navigateur dans une boucle infinie. Le principe 
consiste a verifier la presence du cookie et, s'il n'existe pas, essayer de le creer et 
recharger la page. Cependant, pour ne recharger la page qu'une seule fois, vous 
devez indiquer au script qu'il effectue un rechargement, afin de l'empecher de 
recharger une nouvelle fois la page si le cookie n'existe pas. 

C'est done un petit script, mais vous devez bien l'ecrire pour ne pas creer une 
boucle de rechargements infinis. Le premier traitement consiste a verifier si le 
cookie teste existe deja. En ce cas, puisque le navigateur reconnait les cookies, il 
n'y a plus rien a faire : 



<?php 

if (isset($_COOKIE["test"] )) { 
print "Cookies actives."; 



Si ce cookie n'existe pas, cela peut etre du a deux raisons : la premiere est 
que le navigateur n'accepte peut-etre pas les cookies. Cependant, nous ne pou- 
vons pas en etre sur avant de recharger la page et nous devons savoir que le navi- 
gateur a recharge la page. Pour cela, au deuxieme acces on initialise un 
parametre GET appele testing. Si ce parametre existe mais pas le cookie, on sait 
que le navigateur n'envoie pas de cookie : 



} else { 

if (isset(S_REQUEST[ "testing"])) { 
print "Cookies desactives . " ; 



Si ni le cookie ni le parametre testing n'existent, c'est parce que c'est la pre- 
miere fois que le navigateur accede a la page ; nous initialisons alors le cookie 
puis nous rechargeons la page en initialisant testing pour signaler qu'il s'agit du 
second acces. Le fonctionnement de l'en-tete Location sera decrit dans la section 
suivante. 



} else { 
setcookie( "test" , "1", 0, "/"); 
header( "Location: $_SERVER[PHP_SELF]?testing=1 " ) ; 

} 

} 

?> 
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La presence ici du parametre testing est fondamentale : si vous l'oubliez 
et que le navigateur ne reconnait pas les cookies, la page se rechargera indefi- 
niment. 

Ce script n'est pas tres facile a lire car les premieres lignes de code ne corres- 
pondent pas a ce que voit l'utilisateur au debut. Cependant, il est si court que 
vous pouvez aisement le comprendre dans sa totalite. 

Recette 59 : Rediriger les utilisateurs vers des pages 
differentes 

Rediriger les utilisateurs vers de nouvelles pages fait partie integrante de la 
programmation des sites web dynamiques. La raison essentielle est qu'il faut sou- 
vent rediriger un udlisateur apres avoir modifie l'etat d'une session. Lorsque, par 
exemple, on ajoute un article a un panier virtuel, on renvoie l'utilisateur vers une 
page decrivant l'etat courant du panier sans pour autant ajouter le meme article 
au panier si Ton recharge cette page. Pour ce faire, la plupart des sites utilisent 
un script qui traite le changement d'etat puis redirige les utilisateurs vers la page 
qu'ils souhaitent voir. 

II y a deux moyens d'y parvenir. Le premier, et le plus apprecie, consiste a uti- 
liser l'en-tete HTTP Location : 



<? 

header ( "Location : nouvelle_page . php" ) ; 

?> 



La fonction header () permet d'envoyer des en-tetes HTTP bruts au naviga- 
teur de l'utilisateur. II faut done l'utiliser avant d'envoyer quoi que ce soit au navi- 
gateur, comme pour les cookies. 

Cette methode a cependant deux inconvenients. Le premier est qu'elle est 
instantanee et que le script intermediaire n'apparaitra pas dans l'historique du 
navigateur. Le second est qu'elle repose sur HTTP et ne necessite done pas un 
navigateur pour etre traitee ; les aspirateurs web comme wget sauront done la 
gerer. 

Si vous voulez montrer une page intermediaire a l'utilisateur avec un certain 
delai, vous devez done utiliser une autre methode, qui utilise la balise HTML 
<meta>. 

Cette methode est assez simple : pour envoyer l'utilisateur sur une autre page 
apres avoir affiche la page courante pendant cinq secondes, par exemple, il suffit 
de placer cette ligne dans l'en-tete de la page HTML : 



<meta http-equiv="Ref resh" content="5;URL= nouvelle_page . php" /> 
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Tous les navigateurs savent reconnaitre ces balises, ce qui n'est pas le cas de 
tous les aspirateurs web. En outre, cette page intermediaire apparaitra dans l'his- 
torique du navigateur de Futilisateur. 

Recette 60 : Imposer ['utilisation de pages chiffrees par SSL 

Lorsque Ton manipule des cartes de credit, il faut garantir que toutes les 
informations liees aux cartes passent toujours par une connexion SSL (Secure 
Socket Layer) . 

Quand un utilisateur fait pointer son navigateur vers www.exemple.com, 
FURL est consideree comme etant http://www.exemple.com/ et non https:// 
www.exemple.com/. Ce n'est pas un probleme si tous vos formulaires designent 
specifiquement des pages accessibles via https:/ /www.exemple.com/, mais c'est 
un point assez difficile a verifier, sans compter les problemes de mise a jour si le 
nom de votre machine vient a etre modifie. 

Voici une fonction simple qui teste si un utilisateur se connecte via SSL ou 
non : 



function test_SSL() { 

/* Verifie que la page est en mode securise */ 
if ($_SERVER[ ' SERVER_PORT ' ] == "443") { 

return true; 
} else { 

return false; 

} 

} 



Ce code fonctionne en testant le port du serveur sur lequel se connecte le client 
(SSL utilise le port 443). Si faeces n'est pas securise alors qu'il devrait l'etre, vous 
pouvez utiliser $_SERVER[ ' PHP SELF 1 ] )et la fonction header ( ) decrite dans la section 
precedente pour rediriger futilisateur vers une version securisee de la page. 

Recette 61 : Obtenir des informations sur le client 

Les serveurs web peuvent extraire des informations sur les clients qui se connec- 
tent en examinant l'etat TCP/IP et les en-tetes HTTP. Vous pouvez connaitre tres 
simplement l'adresse IP et la version du navigateur du client en utilisant les variables 
PHP. Cependant, comme quasiment tout ce que vous envoie le client, ces informa- 
tions sont totalement inutiles pour le suivi des sessions : a cause des proxy et des pas- 
serelles NAT (Network Address Translation) , les adresses IP ne sont pas uniques a un 
client et les versions des navigateurs peuvent etre totalement fausses. 

Ces informations permettent cependant de disposer de statistiques sur vos 
utilisateurs. Quelques en-tetes faux ne sont pas reellement un probleme lorsque 
l'on etudie 100 000 acces. 
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La fonction suivante extrait une adresse IP. Sa premiere partie est relative- 
ment simple puisqu'elle examine ce que le serveur pense savoir du client : 



function get_ip() { 

/* Recherche d'abord une adresse IP dans les donnees du serveur */ 
if ( ! empty ($_SERVER[ "REMOTE_ADDR" ] ) ) { 
$ip_client = $_SERVER [ " REMOTE_ADDR " ] ; 

} 



Selon votre interet pour cette information, ce code peut suffire. Toutefois, si 
vous voulez savoir si un utilisateur est passe par un serveur mandataire (proxy) , le 
code suivant permettra de rechercher ce proxy et de trouver V adresse IP sous- 
jacente du client : 



/* Recherche du serveur mandataire. */ 
if ($_SERVER["HTTP_CLIENT_IP"]) { 

$ip_proxy = $_SERVER[ "HTTP_CLIENT_IP" ] ; 
} else if ($_SERVER[ " HTTP_X_FORWARDED_FOR " ] ) { 

$ip_proxy = $_SERVER[ "HTTP_X_FORWARDED_FOR" ] ; 

} 



La recherche de clients derriere des serveurs mandataires est genee par le 
fait que de nombreux clients utilisent un mandataire parce qu'ils sont sur un 
reseau prive. Or, une adresse IP sur un reseau prive est inutile puisqu'elle n'est 
pas unique et ne fournit aucune information geographique. En ce cas, il est pre- 
ferable d'utiliser l'adresse IP originale. Le code suivant recherche une adresse IP 
valide et, s'il la trouve, teste si elle appartient a un reseau prive, auquel cas on 
utilise l'adresse IP originale : 



/* Recherche la veritable adresse IP sous un mandataire */ 
if ($ip_proxy) { 

if (preg_match("/ A ([0-9]+\. [0-9]+\ . [0-9] +\ . [0-9]+) / " , 
$ip_proxy, $liste_ip)) { 
$ip_privees = array( 

TOW, 

, /"127\.0\.0\.1/ 1 , 
1 ri92\.168\ ..*/', 
T172\.16\. .*/' , 

T10.\.*/', 

T224.\.*/', 

T240.\.*/', 

); 

$ip_client = preg_replace($ip_privee, $ip_client, Sliste_ip[1 ] ) ; 

} 

} 
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Enfin, on renvoie l'adresse IP que Ton pense avoir trouvee : 



return $ip_client; 

} 



PHP stocke les informations sur l'agent du client dans la variable S SER- 
VER[ ' HTTP USER AGENT 1 ]. Malheureusement, cette chaine est complexe et ne res- 
pecte pas de standard bien etabli. Voici, par exemple, ce que Ton obtiendrait 
avec Internet Explorer sous Windows : 



Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1 ) 



Avec Opera, elle aurait cette forme : 



Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.54 [en] 



Et voici ce que Ton obtiendrait avec Firefox sous Linux : 



Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 



La raison pour laquelle les chaines des agents utilisateurs semblent etre des 
mensonges ehontes est que la plupart des navigateurs essaient de tromper le serveur 
en se faisant passer pour ce qu'ils ne sont pas. 

Ici, Internet Explorer pretend etre Mozilla (le nom de code de Netscape 
Navigator) ; Opera se nomme aussi Mozilla, puis indique qu'il est Explorer 
(MSIE 6.0) et, a la fin, annonce qu'il s'appelle Opera. Ce comportement comple- 
tement idiot est du a une pratique, deux fois plus stupide, consistant a optimiser 
les pages pour des navigateurs pardculiers. 

Les seules parties de cette chaine susceptibles de vous interesser sont le nom 
du navigateur, sa version et le nom du systeme d'exploitation car elles vous don- 
neront des informadons sur vos utilisateurs. Si, par exemple, vous constatez que 
vous avez une large proportion d' utilisateurs Mac sur votre boutique en ligne, 
vous avez tout interet a leur proposer des produits specifiques. Voici une fonction 
qui extrait ces informations sous forme lisible. Le code est assez horrible mais, ici, 
nous devons combattre l'horreur par l'horreur. 

Nous initialisons d'abord le tableau resultat et nous placons la chaine d'iden- 
tification du navigateur dans la variable $agent : 



function trouve_navigateur( ) { 

// Determine le SE, la version et le type du navigateur du client. 
Sinf os_navigateur = array( 

"nom" => "Unknown", 

"version" => "Unknown", 

"SE" => "Unknown", 

); 
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// Lit la chaine de l'agent utilisateur . 
if ( !empty($_SERVER[ "HTTP_USER_AGENT" ] ) ) { 
$agent = $_SERVER[ "HTTP_USER_AGENT" ] ; 

} 



Trouvons maintenant le systeme d' exploitation de l'utilisateur. C'est relati- 
vement simple puisque ces chaines sont uniques : 



// Trouve le systeme d 1 exploitation . 
if (preg_match( 1 /win/i 1 , Sagent)) { 

$inf os_navigateur[ "SE" ] = "Windows"; 
} else if (preg_match( 1 /mac/i' , Sagent)) { 

Sinf os_navigateur[ "SE" ] = "Macintosh"; 
} else if (preg_match( 1 /linux/i 1 , Sagent)) { 

Sinf os_navigateur[ "SE" ] = "Linux"; 

} 



La partie epineuse pour extraire les details du navigateur peut alors com- 
mence!". L'ordre dans lequel les navigateurs sont testes est important, car certai- 
nes chaines pretendent etre plusieurs navigateurs differents. Le plus gros 
menteur etant Opera, on doit commencer par lui. Avec ce dernier, le pire est 
qu'il peut indiquer sa version de deux facons, avec ou sans barre de fraction ; il 
faut done essayer les deux : 



if (preg_match( 1 /opera/i 1 , Sagent)) { 

// On commence par Opera, puisqu 1 il correspond aussi a IE 
$infos_navigateur[ "nom" ] = "Opera"; 
Sagent = stristr($agent, "Opera"); 
if (strpos('7", Sagent)) { 

Sagent = explode("/", Sagent); 

Sinf os_navigateur[ "version" ] = $agent[1]; 
} else { 

Sagent = explode(" ", Sagent); 

Sinf os_navigateur[ "version" ] = $agent[1]; 

} 



Le suivant sur la liste des suspects est Internet Explorer, parce qu'il pretend 
s'appeler Mozilla. L'obtention de sa version est plus simple puisqu'il suffit de 
supprimer le point-virgule final : 



} else if (preg_match( 1 /msie/i' , Sagent)) { 

Sinf os_navigateur[ " nom" ] = "Internet Explorer"; 
Sagent = stristr(Sagent, "msie"); 
Sagent = explode (" ", Sagent); 

Sinf os_navigateur[ "nom" ]= str_replace( " ; " , "", $agent[1]); 
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Pour l'instant, a part lui, aucun autre navigateur ne pretend s'appeler Fire- 
fox, mais Firefox est lui-meme une version de Mozilla, c'est done le moment 
de tester ce navigateur. Vous remarquerez que 1' extraction de la version est 
bien plus simple : 



} else if (preg_match( ' /firefox/i 1 , Sagent)) { 
$inf os_navigateur[ " nom" ] = "Firefox" ; 
$agent = stristr(Sagent, "Firefox"); 
$agent = explode ("/", Sagent); 
$inf os_navigateur[ "nom" ] = $agent[1]; 



Safari pretend utiliser KHTML, "like Gecko", le moteur de Mozilla. Comme 
nous utilisons aussi Gecko pour trouver les differentes versions de Mozilla, nous 
devons d'abord tester Safari : 



} else if (preg_match( 1 /safari/i 1 , $agent)) { 
$inf os_navigateur[ "nom" ] = "Safari"; 
Sagent = stristr(Sagent, "Safari"); 
Sagent = explode(7", Sagent); 
Sinf os_navigateur[ "version" ] = $agent[1]; 



Netscape Navigator est, evidemment, une version de Mozilla : 



} else if (preg_match( 1 /netscape/i' , Sagent)) { 

Sinf os_navigateur[ " nom" ] = "Netscape Navigator"; 

Sagent = stristr(Sagent, "Netscape"); 

Sagent = explode("/", Sagent); 

Sinf os_navigateur[ "version" ] = $agent[1]; 



Enfin, si Ton a affaire a un navigateur utilisant le moteur Gecko, on sait qu'il 
s'agit surement de Mozilla ou de l'une de ses variantes : 



} else if (preg_match( 1 /Gecko/i' , $agent)){ 
Sinf os_navigateur[ " nom" ] = 'Mozilla'; 
Sagent = stristr(Sagent, "rv"); 
Sagent = explode(":", Sagent); 
Sagent = explode(")", $agent[1]); 
Sinf os_navigateur[ "version" ] = $agent[1]; 

} 

return $infos_navigateur; 

} 



Comme on l'a indique plus haut, cette fonction est assez horrible car elle se 
contente d'examiner au hasard la chaine de l'agentjusqu'a trouver une informa- 
tion semblant intelligible. Vous devrez stocker le resultat de cette fonction pour 
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pouvoir l'exploiter ensuite. Si vous avez acces aux fichiers journaux de votre ser- 
veur, il est sans doute preferable d'utiliser un analyseur comme awstats (http:// 
awstats.sourceforge.net/), qui peut extraire un grand nombre d'informations, 
dont les adresses IP et les navigateurs utilises par vos visiteurs. 

Recette 62 : Delais d'expiration des sessions 

Sur les sites tres securises, les utilisateurs ne devraient pas pouvoir rester 
connectes trop longtemps. Si un visiteur s'absente de son poste pendant une ses- 
sion sur un site comme PayPal, quelqu'un d'autre pourrait profiter de son ordi- 
nateur pour detourner de l'argent de son compte. Pour eviter cela, ces sites 
utilisent les delais d'expiration des sessions, qui deconnectent automatiquement 
les utilisateurs qui n'ont rien fait pendant une certaine periode de temps assez 
courte (10 minutes, par exemple). II faut bien noter qu'il ne faut pas le faire sur 
les sites qui n'exigent pas une securite aussi poussee, car cela ennuie les utilisateurs. 

Voici deux fonctions qui implementent des delais d'expiration pour les ses- 
sions. Vous remarquerez que les variables qui contiennent les delais sont des 
variables de session - les informations provenant du navigateur n'etant pas 
dignes de confiance, vous devez stocker ces valeurs sur votre serveur. La premiere 
fonction valide la session de connexion : 



function valide_login () { 

/* Mise en place d'un delai pour une session de connexion. */ 
/* L ' expiration est de 10 minutes par defaut (600 secondes). */ 
@session_start() ; 
$delai = 600; 

S_SESSION[ "expires_by" ] = time() + $delai; 

} 



NOTE Si vous etes sur que la session a deja debute au moment oil vous appelez cetle fonction, vous 
pouvez supprimer Vappel &session_start( ) . 

La seconde fonction verifie la connexion courante pour savoir si elle a 
expire. Si la session est valide, elle reinitialise son delai d'expiration : 



function verif_login () { 
@session_start() ; 

/* Verifie le delai d'expiration de la session */ 
$expiration = intval($_SESSION[ "expires_by" ] ) ; 
if (time() < $expiration) { 

/* La session est toujours en cours ; on reinitialise son delai.*/ 

valide_login() ; 

return true; 
} else { 
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/* la session a expire ; on supprime la variable de session. */ 
unset($_SESSION[ "expires_by" ] ) ; 
return false; 

} 

} 



La raison de la presence de deux fonctions distinctes et qu'il faut configurer le 
delai d'expiration pour la premiere fois avec valide login ( ) lorsque l'utilisateur se 
connecte pour la premiere fois. Bien que cette mise en place du delai soit tres sim- 
ple, il faut qu'elle soit coherente sous peine de compliquer les choses plus tard. 

L'utilisation de verif login ( ) est tres simple ; voici un exemple permettant 
de proteger les pages necessitant une connexion a partir de la page login.php : 



<? 

if ( !verif_login() ) { 

header) "Location: login.php"); 
exit(0) ; 

} 

?> 



Comme pour le suivi des utilisateurs, n'oubliez pas que session start ( ) doit 
etre appelee au debut du script, avant la production de tout en-tete. Ces fonc- 
tions ignorent les erreurs de session start ( ) car elles pourraient provenir 
d'appels precedents. 

Recette 63 : Systeme de connexion simple 

Certains sites web ont besoin d'un systeme d'authentification simple pour les 
taches administratives. Les petits sites, qui n'ont que deux administrateurs, ne 
necessitent pas un systeme de connexion complet avec des noms d'utilisateurs 
individuels : il suffit simplement d'ecarter les pirates. Un exemple de ce type de 
site serait celui de la recette n°54, "Deposer des images dans un repertoire". 

Nous presenterons ici le code permettant d'effectuer une authentification 
pour un seul utilisateur. L'idee generale consiste a mettre en place une variable 
de session $_SESSI0N[ "auth" ] a remplir lorsque Ton est connecte. 

On definit d'abord le mot de passe. Comme d'habitude, on ne le stocke pas 
en clair. Celui-ci est un hachage MD5 - vous devrez modifier cette chaine par 
celle que vous aurez produite (nous verrons bientot comment proceder) . 



<? 

$mdp_enc = "206bf aa5da7422d2f 497239dcf 8b96f3" ; 



Commencons par definir ce qu'il faut faire quand quelqu'un se deconnecte 
(ce qui est signale par le parametre logout). On initialise d'abord la variable de 
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session avec incomplet, on envoie une page generique a l'utilisateur {index.php, 
ici) , puis on sort : 



session_start( ) ; 

if ($_REQUEST[ "logout"]) { 

S_SESSI0N[ "auth" ] = "incomplet"; 

header("Location: index.php"); 

exit(0) ; 

} 



L'utilisateur se connecte au moyen d'un parametre mdp. Pour savoir si le mot 
de passe est correct, on calcule le hachage MD5 de ce parametre et on le com- 
pare a celui du mot de passe stocke. S'ils sont egaux, on valide la variable de ses- 
sion en la declarant terminee et on redirige l'utilisateur vers une page d'accueil. 
Selon la facon dont votre site envoie les parametres des formulaires, vous n'aurez 
pas besoin de cette redirection, mais vous courez alors le risque de perdre vos 
parametres d'origine et de ne plus etre authentifie. II est done plus sur de rediriger 
les nouvelles connexions vers une sorte de page d'accueil. 



if ($_REQUEST["mdp"]) { 

if (md5($_REQUEST[ "mdp"] ) == $mdp_enc) { 
$_SESSI0N[ "auth" ] = "terminee"; 
header (" Location : index.php"); 
exit(0) ; 

} 

} 
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Si Ton est ici, nous savons que Ton n'est pas en train de se connecter ou de 
se deconnecter ; la seule chose a faire consiste done a verifier si l'utilisateur est 
deja connecte. N'oubliez pas que cette information se trouve dans la variable 
$_SESSI0N [ " auth " ] et qu'il faut done la verifier. Si l'utilisateur n'est pas connecte, 
on lui donne la possibility de le faire en affichant un formulaire de connexion, 
puis on sort. On pourrait egalement rediriger l'utilisateur vers une page de 
connexion speciale, mais il est important de toujours sortir apres cette redirection 
ou l'affichage du formulaire car, apres cette etape, PHP ne doit plus executer la 
moindre tache accessible a un utilisateur authentifie ! 



$auth_ok = $_SESSI0N[ "auth" ] ; 
if ($auth_ok != "termine") { 
?><html><head></head><body> 
<form method="post"> 

Entrez un mot de passe : <input type="password" name="mdp"/> 
</f orm> 
</body</html><?php 
exit(0) ; 

} 

?> 



Pour utiliser ce script, nommez-le login.php et incluez-le au debut de tout 
script ayant besoin d'une authentification. Lorsqu'un client rencontre la page 
pour la premiere fois, le script affiche un formulaire de connexion et se termine 
avant de laisser a un autre code le temps de s'executer. 

Pour mettre en place un nouveau mot de passe, lancez le script suivant pour 
produire un nouvel hachage, puis copiez la chaine obtenue dans la variable 
$mdp_enc : 



<? 

print md5( "nouveau mot de passe"); 
?> 



Ne perdez pas de vue qu'il s'agit d'un systeme d'authentification tres simple. 
Vous pouvez l'ameliorer en ajoutant le code d'expiration des sessions de la sec- 
don precedente mais, si vous avez besoin de fonctionnalites supplementaires, il 
est surement preferable de partir d'un systeme d'authentification parfaitement 
teste. Vous trouverez plusieurs systemes gratuits sur l'lnternet qui meritent d'etre 
essayes. 



TRAITEMENT DU COURRIER 
ELECTRONIQUE 



En general, vous ne traiterez pas beaucoup de 
courrier electronique avec PHP, mais vous devez au 
moins savoir comment envoyer des messages de 
confirmation aux utilisateurs et aux administrateurs 
pour leur confirmer l'activation de leurs comptes, la 
prise en compte de leurs commandes, etc. 

Le moyen le plus simple d'envoyer du courrier electronique avec PHP 
consiste a utiliser la foncdon mail ( ) . Si votre serveur de courrier est correctement 
configure et que vous n'avez besoin de n'envoyer des messages qu'a vous-meme, 
c'est surement la seule foncdon dont vous aurez besoin. 

Voici un script simple qui illustre le fonctionnement de mail(). II suffit de 
remplacer toto@exemple . com par une adresse de courrier valide : 



if (mail( 1 toto@exemple . com ' , 'Test courrier PHP, 'Qa marche !')) { 

echo "Courrier envoye."; 
} else { 

echo "Echec de 1' envoi du courrier."; 

} 



Si ce script affiche Courtier envoye, verifiez la boite de reception du destina- 
taire afin de vous assurer que tout a bien fonctionne. Le sujet devrait etre Test 
courrier PHP et le corps du message Ca marche ! 

La fonction mail(), comme tous les autres systemes qui expedient du cour- 
rier electronique, peut poser des problemes au systeme de delivrance du cour- 
rier : il sera done peut-etre necessaire de modifier la configuration de votre 
serveur de courrier pour que cela fonctionne. Ceci dit, il y a tellement de spam 
dans les courriers actuels qu'un en-tete de courrier mal forme ou anormal peut 
provoquer le rejet de votre courrier par un serveur distant sans meme qu'il vous 
previenne. En outre, Fenvoi de pieces attachees ou l'ajout de texte HTML 
demande beaucoup plus de travail. La section suivante montre comment resoudre 
ces problemes avec PHPMailer. 

Recette 64 : Envoyer du courrier avec PHPMailer 

PHPMailer est un paquetage Open Source de gestion du courrier electroni- 
que qui reconnait les fichiers attaches, les destinataires multiples, l'authentifica- 
tion SMTP et qui dispose d'un grand nombre d'autres fonctionnalites. II a ete 
abondamment teste et il est relativement simple a utiliser et a mettre a jour. II suf- 
fit d'inclure le fichier PHPMailer principal dans votre script et vous etes pret a 
envoyer du courrier. 

Installation de PHPMailer 

L'installation de PHPMailer s'effectue en suivant ces etapes : 

1. Telechargez les fichiers de PHPMailer a partir de http://php- 
mailer.sourceforge.net/ . 

2. Creez un repertoire phpmailer sur votre serveur afin d'y stocker les fichiers 
de PHPMailer. 

3. Extrayez les fichiers de PHPMailer dans le repertoire phpmailer. 

4. Choisissez votre methode de transport du courrier. PHPMailer propose 
trois methodes differentes : mail, sendmail et smtp. mail est la methode par 
defaut ; elle utilise la fonction mail( ) de PHP, decrite dans la section pre- 
cedente. C'est la plus simple a configurer si le courrier du serveur web est 
correctement parametre. Si cette methode ne fonctionne pas, il vous reste 
deux possibilities : 

a. Vous pouvez indiquer a PHPMailer un serveur SMTP auquel il pourra 
s'adresser. SMTP signifie Simple Mail Transfer Protocol, c'est le protocole 
de transport du courrier le plus utilise. Pour que PHPMailer puisse uti- 
liser SMTP, vous devez connaitre le nom d'hote d'un serveur SMTP. Si 
celui-ci exige une authentification (ce qui est souvent le cas), vous 
devrez fournir un nom d'utilisateur et un mot de passe pour ce serveur. 
Votre FAI vous fournira tous les details necessaires sur la configuration 
de son serveur SMTP. 
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b. Si votre serveur web utilise sendmail ou un logiciel compatible (comme 
Postfix), vous pouvez configurer PHPMailer afin qu'il l'utilise pour 
envoyer le courrier. Vous devrez alors indiquer remplacement de l'exe- 
cutable sendmail, qui est generalement /usr/sbin/ sendmail ou /usr/lib/ 
sendmail. 

5. Ajustez la configuration par defaut de PHPMailer en modifiant le contenu 
du fichier class. phpmailer.php. Les variables a modifier se trouvent dans la 
section Public Variables situee au debut du fichier. Les reglages les plus 
importants sont : 

var $Mailer = "mail"; La methode utilisee par PHPMailer pour 
envoyer le courrier. Utilisez la valeur mail, sendmail ou smtp, comme on 
l'a explique a l'etape 4. 

var $From = "root@localhost"; L'adresse de l'expediteur par defaut. 

var $FromName = "Root User"; Le nom par defaut associe a l'adresse 
de courrier par defaut. 

var $Host = ""; Le serveur SMTP utilise avec la methode smtp. Verifiez 
les informations que vous a communiquees votre FAI. Vous pouvez indi- 
quer plusieurs serveurs SMTP en les separant par des points-virgules au 
cas ou le premier serveur serait hors service ou rejetterait vos courriers. 

var $SMTPAuth = false; Si votre serveur SMTP exige une authentifica- 
tion pour envoyer du courrier, mettez cette variable a true. En ce cas, 
vous devrez egalement initialiser les deux variables suivantes. 

var $Username = ""; Le nom d'utilisateur sur le serveur SMTP 
(uniquement lorsqu'on utilise l'authentification SMTP) . 

var $Password = ""; Le mot de passe associe a $Username, si necessaire. 

var $Helo = " " ; Le nom de votre serveur web : www.exemple.com, par 
exemple. 

Apres avoir modifie les variables de configuration necessaires, vous etes pret 
a etudier un script simple permettant d'envoyer un message de test. 

Utilisation du script 

Assurez-vous que le fichier class. phpmailer.php se trouve dans un des chemins 
ou PHP recherche les fichiers inclus, puis essayez ce script : 



<?php 

include_once( "class. phpmailer. php" ) ; 
$mail = new PHPMailer; 
$mail->ClearAddresses ( ) ; 

$mail->AddAddress ( ' toto@adresse . com ' , 1 toto ' ) ; 
$mail->From = 'toiiaexemple.com'; 
$mail->FromName = 'Ton nom'; 
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$mail->Subject = 'Sujet du message de test'; 
$mail->Body = 'Voici le corps du message de test.'; 
if ($mail->Send()) { 

echo "Message envoye."; 
} else { 

echo Smail->ErrorInf o; 

} 

?> 



L'interface de PHPMailer etant orientee objet, vous devez creer un objet 
($mail, ici) puis configurer quelques attribute et appeler des methodes pour 
construire le message. Utilisez ensuite la methode Send ( ) de l'objet pour envoyer 
le message. Cette methode renvoie true si PHPMailer a pu transmettre le mes- 
sage a Fagent de distribution. En cas de probleme, vous trouverez tous les details 
dans la variable Errorlnfo. 

Voici un resume des methodes et attribute utilises dans cet exemple : 



$mail->AddAddress (adresse_mel, nom_destinataire) 



Ajoute un destinataire pour le message courant. adresse_mel est l'adresse du 
destinataire et nom_destinataire est son nom reel (ou, au moins, le nom que vous 
donnez au destinataire). 



$mail->ClearAddresses ( ) 



Vide la liste courante des destinataires. La methode AddAddress ( ) ne suppri- 
mant pas les adresses precedentes, vous risquez d'envoyer plusieurs fois le meme 
message au meme destinataire si vous envoyez les courriers dans une boucle avec 
le meme objet PHPMailer. II est done conseille de prendre l'habitude de vider la 
liste des destinataires avant de traiter un message ou apres avoir appele la 
methode Send( ). 



$mail->isHTML = true | false 



Si cet attribut vaut true, PHPMailer utilise HTML au lieu du texte pur. Avec 
HTML, vous pouvez integrer des belles images, mais tous les clients de courrier 
n'acceptent pas le HTML. En cas de probleme, verifiez la valeur de Fattribut 
suivant. 



$mail->AltBody = texte 



Si Fattribut isHTML vaut true, vous pouvez configurer l'attribut AltBody avec 
une version texte du corps du message. 
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Ajout de fichiers attaches 

Pour attacher des fichiers aux messages, utilisez cette methode : 



$mail->AddAttachment (chemin , nom, encodage, type) 



Ses parametres sont les suivants : 

chemin : Le chemin complet du fichier que Ton veut attacher. 

nom : Le nouveau nom pour le fichier attache. Si, par exemple, le fichier 
s'appelle 01 llOO.jpgsm votre systeme mais que vous voulez qu'il s'appelle 
exemple_produit.jpg sur la machine destinataire, passez cette chaine au para- 
metre. Celui-ci est facultatif, mais vous devriez toujours l'utiliser pour vous 
assurer que le destinataire sauvegardera correctement le fichier attache. 

encodage : L' encodage du fichier attache. Par defaut, il s'agit de base64, 
qui convient parfaitement aux attachements binaires. 

type : Le type MIME du fichier attache. Le type par defaut, application/ 
octet- st ream, convient a la plupart des fichiers mais, dans certains cas, 
vous pouvez avoir envie de le modifier (image/ j peg, par exemple, corres- 
pond au images JPEG). Cependant, a moins de savoir ce que vous faites, il 
est preferable de ne pas s'en occuper et de laisser le client courrier du des- 
tinataire le deviner. 

Pour envoyer le message avec la piece jointe, il suffit d'utiliser normalement 
la methode Send( ) de PHPMailer. Si vous devez supprimer toutes les pieces join- 
tes d'un objet (parce vous bouclez sur des destinataires ayant chacun un fichier 
attache unique) , choisissez cette methode : 



$mail->ClearAttachments ( ) 



Enfin, si vous avez stocke un fichier attache dans une variable PHP, vous pou- 
vez utiliser la methode AddStringAttachment ( )pour l'attacher. Elle fonctionne 
exactement comme AddAttachment ( ), mais elle se sert d'une chaine PHP ou 
d'une variable a la place du parametre chemin. 

Problemes eventuels 

Si vous utilisez la fonction mail ( ) pour envoyer le courrier, vous devez verifier 
que PHP puisse le faire. Dans le cas contraire, utilisez plutot smtp ou sendmail. 

Si vous envyez un courrier avec SMTP, vous pouvez recevoir ce message 
d'erreur : 



SMTP Error: The following recipients failed [emailiaexemple.com] 



Dans la plupart des cas, cela signifie qu'il y a eu un probleme lors de la 
connexion au serveur SMTP. Vous vous etes peut-etre trompe en tapant le nom 
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du serveur SMTP ou le serveur est indisponible. Cependant, la raison la plus 
frequente est que le serveur exige une authentification SMTP : en ce cas, verifiez 
que la variable de configuration SMTPAuth vaut true, mettez le nom d'utilisateur 
et le mot de passe pour ce serveur puis reessayez. 

II est important de se rappeler que la gestion du courrier est un traitement 
complexe. II existe des milliers de raisons pour lesquelles un courrier pourrait ne 
pas parvenir a une adresse donnee : cette adresse peut etre incorrecte, votre ser- 
veur peut etre considere comme un serveur de spam et done etre dans la liste 
noire de nombreux autres serveurs, ou un serveur peut ne pas aimer vos fichiers 
attaches - et ce n'est que le debut. 

Le meilleur moyen de deboguer un probleme consiste a commencer par un 
message en texte pur expedie a une adresse dont on est stir. A partir de la, vous 
pouvez vous plonger dans les fichiers journaux du serveur pour reperer les 
problemes particuliers. 

Recette 65 : Verifier les comptes utilisateurs 
avec le courrier electronique 

Sur les sites qui demandent une inscription, certaines personnes creent des 
comptes uniquement pour semer la zizanie. Certains en profitent pour poster 
une tonne de commentaires ridicules sur votre forum ou pour tenter de saturer 
une autre partie de votre systeme. Avec les boutiques en ligne, un probleme clas- 
sique est qu'un client peut faire une commande en utilisant une fausse adresse 
de courrier electronique afin de ne pas etre spamme, ce qui vous empeche de le 
joindre si vous avez besoin de lui poser une question sur sa commande. 

Un moyen assez efficace de verifier l'identite reelle des utilisateurs consiste a 
les obliger a valider leurs adresses electroniques. Lorsque Ton cree le compte 
d'un utilisateur, celui-ci ne sera done pas active tant que cet utilisateur n'aura pas 
clique sur un lien qui lui aura ete transmis par courrier electronique. 

Dans cette section, nous allons presenter un systeme qui prend en charge les 
nouveaux utilisateurs qui n'ont pas encore active leur compte. Lorsqu'un utilisa- 
teur tente de se connecter a votre systeme, vous pouvez d'abord verifier si ce 
compte a ete active ou non. Pour cela, vous avez besoin des composants suivants : 

• une base de donnees MySQL ; 

• une table attentes inscription formee de deux colonnes : un nom d'utili- 
sateur (login) et une cle. Pour la creer, vous pouvez utiliser la requete SQL 
suivante : 



CREATE TABLE attentes_inscription ( 

'login' varchar(32), 'cle' varchar(32) , 
PRIMARY KEY ( 'login' ) , 
INDEX (cle)) ; 
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• PHPMailer, installe dans le repertoire phpmailer. 

On utilisera trois fonctions qui joueront le role de generateur, d'activateur 
et de verificateur. Toutes ces fonctions supposent que le nom d'utilisateur a 
deja ete valide et que c'est une chaine MySQL correcte. Etudions d'abord la 
fonction generateur. Vous devrez l'appeler dans le code de creation de compte 
pour produire une cle permettant de debloquer le compte et envoyer cette cle 
a l'adresse electronique de l'utilisateur. Cette fonction commence par pro- 
duire une chaine de 32 caracteres aleatoires qui serviront de cle pour debloquer le 
compte : 



function verification ($login , $email, $bd) { 

/* Cree un lien de verification et l'envoie a l'utilisateur */ 
/* Cree une cle */ 
$cle = " " ; Si = 0; 
while ($i < 32) { 

$cle .= chr(rand(97, 122)) ; 

$i++; 

} 



Puis, nous plagons la cle dans la table attentes inscription. La cle primaire 
etant login, il ne peut pas y avoir plusieurs noms de comptes identiques ; nous 
verifions done d'abord qu'il n'existe pas deja une ligne pour ce compte, puis 
nous inserons les donnees dans la table : 



/* Place la cle dans la table 

On supprime d'abord un eventuel compte identique */ 
Srequete = "DELETE FROM attentes_inscription WHERE login = ' $login'"; 
mysql_query($requete, $bd); 

$requete = "INSERT INTO attentes_inscription (login, cle) 

VALUES ( 'Slogin' , '$cle' ) " ; 
mysql_query($requete, $bd); 
if (mysql_error(Sbd) ) { 

print "Erreur de generation de la cle."; 

return false; 

} 



Nous devons maintenant produire FURL sur laquelle l'utilisateur devra se 
rendre pour activer son compte. Vous devrez evidemment modifier celle-ci en 
fonction du nom de votre serveur et du script d'activation, mais vous devez surtout 
vous assurer d'envoyer la cle en parametre : 



/* URL d'activation */ 

Surl = "http: //comptes. exemple. com/activation. php?k=$cle" ; 



II reste simplement a envoyer le courrier a l'utilisateur. La encore, il est pro- 
bable que vous personnalisiez cette partie. 
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include_once( " phpmailer /class . phpmailer . php" ) ; 
$mail = new PHPMailer; 
$mail->ClearAddresses ( ) ; 
$mail->AddAddress($email, $login) ; 
$mail->From = 'generateur@exemple.com'; 
$mail->FromName = 'Generateur de compte'; 
$mail->Subj ect = 'Verification du compte'; 

$mail->Body = "Pour activer votre compte, cliquez sur l'URL suivante : 
Surl 

if ($mail->Send() ) { 

print "Message de verification envoye."; 
} else { 

print $mail->ErrorInf o; 

return false; 

} 

return true; 



Pour utiliser cette fonction, appelez-la de la facon suivante (bd est un descrip- 
teur de base de donnees MySQL qui a ete ouvert au prealable) . Elle renverra true 
si le compte a ete place dans la table attentes inscription et si PHPMailer a pu 
envoyer le message d' activation : 



verif ication(login, adressejuel, bd) 



Cette verification ayant ete faite, la partie suivante est une fonction qui active un 
compte lorsque l'utilisateur clique sur le lien. La premiere chose a faire consiste a 
nettoyer la cle qui nous a ete envoyee au cas ou l'utilisateur Fait abime ou qu'un 
pirate essaie de penetrer sur le systeme. La fonction precedente qui a produit la cle 
n'utilisant que des minuscules, nous supprimons tout ce qui ne correspond pas : 



function activer_compte (Scle , Sbd) { 

/* Active un compte a partir d'une cle. */ 

/* Nettoie la cle si necessaire. */ 

$cle = preg_replace( "/ [ "a-z] / " , "", $cle); 



On examine ensuite la validite de la cle. Si elle n'est meme pas dans la table 
attentesinscription, il n'y a rien a faire et on renvoie false pour l'indiquer : 



Srequete = "SELECT login FROM attentes_inscription WHERE cle = '$cle"; 
Sc = mysql_query($requete, $bd); 
if (mysql_num_rows($c) != 1) { 
return false; 

} 
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Si Ton est arrive ici, nous savons que la cle est dans la table : il reste done a 
supprimer la ligne correspondante pour activer le compte. Vous remarquerez 
que Ton n'a meme pas besoin de savoir quel est le nom du compte. 



$requete = "DELETE FROM attentes_inscription WHERE cle = 'Scle"; 
mysql_query($requete, $bd); 
if (mysql_error($bd) ) { 
return false; 

} 

return true; 



Pour udliser cette foncdon, appelez-la de la facon suivante : 



activer_compte($_REQUEST[ "k" ] , db) 



La derniere foncdon permet de savoir si un compte est actif ou non. Si un 
compte n'a pas ete active, une ligne lui correspond dans la table attentes ins- 
cription ; il suffit done de rechercher ce compte dans cette table : 



function est_actif ($login, $bd) { 

/* Teste si un compte a ete active. */ 

$requete = "SELECT count (*) AS c FROM attentes_inscription 

WHERE login = ' $login ' " ; 
Sc = mysql_query($requete, $bd); 
if (mysql_error($bd) ) { 
return false; 

} 

$r = mysql_f etch_array($c) ; 
if (intval($r["c"]) > 0) { 
return false; 

} 

return true; 



Pour adapter ce systeme a votre site, vous pouvez lui ajouter un certain nom- 
bre de choses : ajouter un champ date a la table pour supprimer les comptes inac- 
tifs qui n'ont jamais ete verifies, par exemple. II peut y avoir beaucoup d'autres 
raisons de desactiver un compte ; en ce cas, vous aurez besoin de stocker dans la 
table la raison de cette deactivation. Vous pouvez meme inclure la cle d'activa- 
don dans la table principale des comptes. Le mecanisme d'activadon decrit ici est 
specifiquement concu pour etre greffe a moindre frais sur d'autres systemes de 
connexion. 
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10 

TRAITEMENT DES IMAGES 




Ce chapitre explique comment creer et manipuler des 
images GIF et JPEG. Nous ne vous expliquerons pas 
comment developper des scripts capables d'effectuer 
de lourdes manipulations d'images en ligne ou de 
reconnaitre des caracteres a la volee (votre serveur limite 
de toutes manieres le nombre de calculs que peut realiser 
un script) , mais vous decouvrirez en detail de nombreuses 
operations sur les images. 

Vous serez notamment en mesure de generer aleatoirement des images qui 
agiront comme des codes de verification ou de decliner vos cliches en de multiples 
vignettes. Pratique pour tous vos projets de sites web ! 

Recette 66 : Creer une image CAPTCHA pour ameliorer 
la sec u rite 

De nombreux exemples de ce livre utilisant cURL pour se connecter et inte- 
ragir avec les sites web, vous savez done qu'il est facile d'automatiser ces interac- 
tions. Vous savez egalement que si votre site dispose d'une fonctionnalite que 
vous ne voulez offrir qu'aux visiteurs et non a des robots spammeurs, vous devez 



la proteger. Sinon, votre site risquerait d'etre totalement submerge par ces derniers. 
Un moyen de contourner ce probleme consiste a produire dynamiquement une 
image contenant un texte que l'utilisateur devra reproduire avant de continuer. 
Si le texte saisi par le visiteur correspond au texte de l'image, c'est qu'il s'agit 
vraisemblablement bien d'une personne et non d'un robot. 

Ce type de test s'appelle CAPTCHA (Completely Automated Public Turing Test 
to Tell Computers and Humans Apart, ce qui peut se traduire par "Test de Turing 
automatique pour distinguer les ordinateurs des humains"). Cette methode 
presente pourtant deux inconvenients. Le premier concerne evidemment les 
malvoyants qui ne peuvent pas lire le texte de l'image CAPTCHA. De nos 
jours, les visiteurs malvoyants peuvent utiliser Internet grace a des logiciels 
vocaux qui lisent les pages, mais ces logiciels ne savent pas interpreter les ima- 
ges depourvues d'attribut alt. Un CAPTCHA ne tient done pas compte de ces 
utilisateurs. 

En outre, un CAPTCHA ne fonctionne pas toujours. Les spammeurs sont 
toujours a la recherche de solutions pour contourner vos defenses et Fun des 
moyens les plus ingenieux qu'ils ont trouve consiste a remplacer le lien hyper- 
texte de votre image CAPTCHA par l'adresse d'un site pornographique qu'ils 
administrent. lis n'hesitent pas a ajouter la mention "Entrez cette phrase et admi- 
rez de superbes creatures nues !" pour attirer certains visiteurs. Bien que vous ne 
souhaitez pas que votre site web soit pirate de la sorte et qu'il s'abaisse malgre lui 
a de telles pratiques, sachez que ce genre de techniques est encore relativement 
rare. 

Connaissant ces deux faiblesses, vous devez utiliser les CAPTCHA parci- 
monieusement et les comparer avec d'autres methodes comme le scanner 
Akismet 1 . 

Le CAPTCHA que nous presentons ici est assez simple (la Figure 10.1 en 
montre une copie d'ecran) mais il est efHcace. Pour Futiliser, vous devez avoir 
installe la bibliotheque graphique CD avec la reconnaissance de Freetype. 
Comme on Fa explique a la recette n°8, "Afficher toutes les options de configu- 
ration de PHP", utilisez phpinfo( ) pour savoir si CD est installe sur votre ser- 
veur : si vous voyez une section CD avec des informations sur Freetype tout va 
bien. Sinon, recompilez PHP comme indique a la recette n°18, "Ajouter des 
extensions a PHP". 

Vous aurez egalement besoin d'une ou plusieurs polices dans le meme 
repertoire que le script. II est preferable d'utiliser des polices qui sont a peu 
pres lisibles. 



1, NdR : Vous avez egalement la possibility, a l'image du projet ReCaptcha invente par Luis von 
Ahn (le createur du concept d'origine), d'enchainer deux CAPTCHA d'affilee afin de compli- 
quer la reconnaissance des caracteres par des robots. Mais vos visiteurs devront redoubler 
d'effort pour valider leur saisie ! 
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Saisissez les caracteres suivants pour continuer : 
(si vous n'arrivez pas a les lire, rechargez la page) 



Lettres : | Envoy er 



Figure 10.1 : line image CAPTCHA 

Ce systeme est forme de deux parties : 

1. Le composant principal est un script qui cree des images CAPTCHA 
qui auront des fonds irreguliers avec d'etranges treillis colores de 
lignes horizontales et verticales. Puis, le script demande une phrase 
secrete, la stocke dans la variable $_SESSI0N [ 1 tt pass 1 ] et dessine cha- 
que lettre de cette phrase de facon differente. Enfin, il envoie l'image 
au client. 

2. Le second composant est un script qui compare ce qui a ete saisi dans un 
formulaire CAPTCHA avec le contenu de la variable $_SESSI0N[ 'tt_ 
pass']. Le script que nous presentons ici n'est qu'un simple squelette, 
mais vous pourrez 1' adapter aisement a vos besoins car le script de production 
d'image fait l'essentiel du travail. 

Commencons par ce dernier. La premiere etape consiste a mettre en place 
plusieurs variables de configuration pour stocker la longueur de la phrase 
secrete, la taille de l'image et l'emplacement des polices : 



<?php 

/* image_captcha.php */ 

/* Longueur de la phrase secrete */ 
$lg_phrase = 4; 

/* Dimensions de l'image*/ 
$largeur = 200; 
$hauteur = 60; 

/* Chemin des polices TTF */ 
$chemin_polices = dirname( FILE ); 



Creons maintenant la phrase secrete. A la difference de la plupart des mots 
de passe, cette phrase n'a pas besoin d'etre particulierement compliquee ; il n'est 
pas necessaire d'ennuyer inutilement vos visiteurs. 
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session_start( ) ; 

/* Creation de la phrase secrete. */ 
$mdp = " " ; 
$i = 0; 

while (Si < $lg_phrase) { 
Smdp .= chr(rand(97, 122)); 
$i++; 

} 



Nous placerons la phrase secrete dans une variable de session : elle n'appa- 
raitra done jamais sur les pages, ce qui evite de devoir l'encoder. 



/* Stockage de la phrase secrete. */ 
$_SESSI0N[ "tt_pass" ] = Smdp; 



Avant de dessiner quoi que ce soit, nous voulons nous assurer que nous dis- 
posons de certaines polices. Ce code cree done une liste des polices du repertoire 
courant. Si vous voulez accelerer cette etape, vous pouvez initialiser le tableau 
$polices avec un ensemble de noms de fichiers de polices TTF : 



/* Recupere la liste des polices disponibles. */ 
Spolices = array( ) ; 

if ($desc = opendir($chemin_polices) ) { 
while (false !== ($fichier = readdir($desc) ) ) { 
/* Recherche des polices TTF. */ 

if (substr(strtolower($f ichier) , -4, 4) == '.ttf') { 
$polices[] = $chemin_polices . '/' . $f ichier; 

} 

} 

} 

if (count($polices) < 1) { 
die("Aucune police n'a ete trouvee !"); 

} 



Le client doit savoir le type d 'image que vous envoyez. Ce script creant une 
image JPEG, e'est ce type MIME qu'il enverra. En outre, il envoie egalement plu- 
sieurs en-tetes pour desactiver le cache et empecher ainsi le navigateur de mettre 
1' image en cache : 



/* En-tete de 1' image */ 
header("Content-Type: image/jpeg") ; 
/* Deactivation du cache. */ 

header("Expires: Mon, 01 Jul 1998 05:00:00 GMT"); 
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header( "Last-Modified : " . gmdate("D, d II V H:i:s") . " GMT"); 
header("Cache-Control: no-store, no-cache, must-revalidate" ) ; 
header("Cache-Control: post-check=0, pre-check=0" , false); 
header( "Pragma: no-cache"); 



Apres tout ce travail preparatoire, nous pouvons commencer a creer l'image. 
Les fonctions GD commencent toutes par le prefixe image. Pour initialiser la couleur 
du canevas de l'image, on appelle imagecreatetruecolor( ). 



/* Creation de l'image. */ 

$img = imagecreatetruecolor($largeur, $hauteur); 



Nous commencerons par tracer un rectangle qui recouvre tout le fond. Pour 
cela, il faut d'abord allouer une couleur dans l'image avec imagecolorallocate( ) 
dont le second, troisieme et quatrieme parametres sont, respectivement, les 
valeurs rouge, verte et bleue. Ces valeurs sont des entiers compris entre et 255, 
etant la couleur la plus sombre et 255 la plus claire. L'instruction suivante cree 
une couleur pastel aleatoire : 



/* Remplit le fond avec un pastel aleatoire */ 
$fond = imagecolorallocate($img, rand(210,255) , rand(210,255) , 

rand(210,255) ) ; 



On trace ensuite le rectangle avec la fonction imagef illedrectangle ( ). Le 
rectangle etant parallele aux axes de l'image, on peut le definir par deux points, 
(0, 0) et ($largeur, $hauteur) : 



imagef illedrectangle($img, 0, 0, $largeur, $hauteur, $fond); 



Pour compliquer un peu plus le fond, on trace plusieurs polygones orientes 
verticalement sur le canevas. La boucle suivante cree les polygones avec la fonc- 
tion imagef illedpolygon ( ). Le trace est different de celui d'un rectangle car un 
polygone peut avoir plus de trois cotes oriente differemment : on doit done four- 
nir un tableau de points en parametre (Spoints poly, ici) au lieu de deux coor- 
donnees. 

Ne vous perdez pas dans les details de cette boucle car ce n'est pas une partie 
tres importante du script. 



/* Complique le fond en le recouvrant de polygones de couleurs 
differentes ayant chacun quatre sommets. */ 

/* Cree des treillis de 10 a 30 pixels de largeur sur l'image. */ 
$droite = rand(10, 30) ; 
$gauche = 0; 

while (Sgauche < Slargeur) { 
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$points_poly = array( 

Sgauche, 0, /* Coin superieur gauche */ 

$droite, 0, /* Coin superieur droit */ 

rand ($droite-25, Sdroite+25) , $hauteur, /* Coin inferieur droit */ 

rand ($gauche-15, Sgauche+15), $hauteur);/* Coin inferieur gauche */ 

/* Creation du polygone a partir des quatre points du tableau */ 
$c = imagecolorallocate($img, rand (21 0,255) , rand(210,255) , 

rand(210,255) ) ; 
imagefilledpolygon($img, $points_poly, 4, $c); 

/* Avance vers le cote droit. */ 
$off set_aleatoire = rand(10, 30); 
Sgauche += $offset_aleatoire; 
Sdroite += $offset_aleatoire; 

} 



Pour compliquer encore la tache de ceux qui utiliseraient un logiciel de 
reconnaissance de caracteres pour tenter de contourner ce systeme, nous trace- 
rons quelques lignes verticales et horizontales aleatoires en travers de l'image. 
Pour melanger tout cela un peu plus, nous definirons un intervalle de couleur 
different pour les lignes de chaque image. En choisissant des limites aleatoires 
inferieure et superieure pour les couleurs, les lignes peuvent ou non varier en 
intensite et changeront d'epaisseur d'une image a l'autre. 



/* Choisit un intervalle de base pour les lignes 
verticales et horizontales. */ 
$c_min = rand(120, 185) ; 
$c_max = rand(195, 280); 



Pour tracer les lignes verticales, on part du cote gauche et on choisit une 
epaisseur et un leger decalage pour deplacer la ligne. Puis, on choisit une cou- 
leur (entre les limites que Ton vient de definir) , on trace la ligne comme un poly- 
gone et on avance vers la droite avec une progression aleatoire : 



/* Trace des lignes verticales aleatoire dans la largeur. */ 
$gauche = 0; 

while (Sgauche < Slargeur) { 
Sdroite = Sgauche + rand (3, 7); 
Soffset = rand(-3, 3); /* Offset de 1' angle */ 

Spoints_ligne = array( 

Sgauche, 0, /* Coin superieur gauche */ 

Sdroite, 0, /* Coin superieur droit */ 

Sdroite + Soffset, Shauteur, /* Coin inferieur droit */ 

Sgauche + Soffset, Shauteur); /* Coin inferieur gauche */ 
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$pc = imagecolorallocate($img, rand ($c_min , $c_max), 

rand (Scjnin , $c_max), 

rand ($c_min , Sc_max)); 

imagefilledpolygon($img, $points_ligne , 4, $pc); 

/* Avance vers la droite. */ 
Sgauche += rand(20, 60) ; 

} 



On utilise la meme procedure pour creer les lignes horizontales : 



/* Cree des lignes horizontales aleatoires dans la hauteur. */ 
$haut = 0; 

while (Shaut < $hauteur) { 
Sbas = $haut + rand(1 , 4) ; 
$offset = rand(-6, 6); /* Offset de 1' angle */ 

Spoints_ligne = array( 

0, $haut, /* Coin superieur gauche */ 

0, Sbas, /* Coin inferieur gauche */ 

$largeur, $bas + Soffset, /* Coin inferieur droit */ 

$largeur, $haut + Soffset); /* Coin superieur droit */ 
Spc = imagecolorallocate($img, rand ($c_min , $c_max), 

rand (Scjnin , $c_max), 
rand ($c_min , Sc_max)); 
imagefilledpolygon($img, $points_ligne , 4, Spc); 
Shaut += rand(8, 15) ; 

} 



Nous sommes enfin prets a produire les caracteres de la phrase secrete. 
Avant de les dessiner, nous devons determiner grossierement l'espacement des 
lettres, puis initialiser une variable qui contiendra la position du caractere le 
plus a gauche : 



/* Espacement des caracteres. */ 
Sespacement = Slargeur / (strlen($mdp)+2) ; 

/* Coordonnee x initiale */ 
$x = Sespacement; 



On parcourt ensuite tous les caracteres en faisant legerement varier a chaque 
fois le decalage, Tangle, la taille et la police : 



/* Dessine chaque caractere. */ 
for ($i = 0; Si < strlen (Smdp) ; $i++) { 
Slettre = Smdp[Si] ; 
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Staille = rand(Shauteur/3, $hauteur/2); 
Srotation = rand(-30, 30); 

/* Position y aleatoire en laissant de la place pour les pattes 

des caracteres */ 
$y = rand($hauteur * .90, Shauteur - Staille - 4); 
/* Choix d'une police ail hasard. */ 
Spolice = Spolices[array_rand($polices) ] ; 



Ces lettres seront tres difficiles a lire sans une certaine mise en valeur. Vous 
pouvez creer une ombre coloree en divisant les valeurs de couleurs initiales 
par 3 : 



/* Choix d'une couleur pour la lettre. */ 

$r = rand(100, 255); Sg = rand(100, 255); Sb = rand(100, 255); 
/* Creation de la lettre et de l'ombre coloree */ 
$couleur = imagecolorallocate($img, $r, $g, Sb); 
$ombre = imagecolorallocate ($img , $r/3, $g/3, $b/3); 



Pour dessiner l'ombre puis la lettre, on utilise imagettf text ( ) puis on passe 
au caractere suivant : 



/* Dessine l'ombre, puis la lettre. */ 

imagettftext($img, $taille, Srotation, $x, $y, Sombre, Spolice, 
Slettre) ; 

imagettftext($img, Staille, Srotation, $x-1 , $y-3, Scouleur, Spolice, 
Slettre) ; 

/* Avance sur le canevas. */ 

Sx += rand (Sespacement , Sespacement * 1.5); 

} 



Lorsque cette boucle s'est terminee, vous etes pret a envoyer 1'image au 
client en appelant la fonction image] peg(), puis on libere la memoire qu'elle 
occupaitavec imagedestroy ( ) : 



imagejpeg(Simg) ; /* Envoie 1'image. */ 
imagedestroy(Simg) ; /* Libere la memoire de 1'image. */ 

?> 



L'autre partie du systeme CAPTCHA est un petit fragment de code pour 
afncher le formulaire, integrer 1'image produite par le script precedent et verifier 
que la phrase saisie dans le formulaire est celle cree par le generateur d'image. 
Ce dernier ayant fait tout le travail, le reste n'appelle pas de commentaires. 
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<?php 



session_start( ) ; 

/* Recherche un mot de passe soumis. */ 
if ($_REQUEST["tt_pass"]) { 

if ($_REQUEST[ "tt_pass"] == $_SESSION[ "tt_pass" ] ) { 
echo "Phrase secrete correcte."; 

} else { 

echo "Phrase secrete incorrecte. " ; 

} 

exit(0) ; 

} 

/* Par defaut, on envoie le formulaire. */ 

print '<form action=" 1 . $_SERVER[ 1 PHP_SELF 1 ] . '" method=" post "> 1 ; 
?> 

Saisissez les caracteres suivants pour continuer :<br /> 

(si vous n'arrivez pas a les lire, reactualisez la page)<br /> 

<img src="image_captcha.php"><br /><br /> 

Lettres : <input name="tt_pass" type="text" size="10" maxlength="10"> 
<input type="submit"> 
</f orm> 



Evidemment, vous devrez incorporer ce script un peu plus soigneusement 
dans votre code, mais l'un des points les plus positifs de ce systeme est qu'il est 
relativement autonome. Vous pouvez faire en sorte de le renforcer un peu plus, 
en supprimant la phrase secrete une fois qu'elle a ete verifiee, par exemple (arm 
qu'elle ne puisse servir qu'une fois). Cependant, si vous pensez que vous avez 
besoin de beaucoup plus, votre probleme est plus important et vous devrez le 
resoudre avec un systeme d'authentification. 

Recette 67 : Creer des vignettes 

Si vous autorisez les utilisateurs a deposer des images sur votre site (voir la 
recette n°54, "Deposer des images dans un repertoire"), vous aurez probable- 
ment besoin de petites images (appelees encore imagettes ou "thumbnails" en 
anglais) pour creer des pages de previsualisation et faciliter la navigation dans les 
galeries. Cette section presente la fonction mkthumb() permettant de creer ces 
vignettes avec GD. Pour l'utiliser, vous aurez besoin des elements suivants : 

• Un repertoire accessible en ecriture pour sauvegarder les vignettes (si vous 
ne savez pas creer ce repertoire, reportez-vous a la section "Permissions des 
fichiers"). 

• La bibliotheque GD. 
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La fonction mkthumb( ) prend deux parametres : le nom du fichier image et 
le nom de la vignette. Vous devrez verifier separement que le fichier image 
existe et que son nom porte une extension . j pg, .gif ou .png. Si ce fichier 
n'existe pas encore, consultez la recette n°54, "Deposer des images dans un 
repertoire") . 

La fonction commence par definir des valeurs par defaut pour la largeur et la 
hauteur maximales des vignettes (ici, elles doivent etre egales) : 



<?php 

function mkthumb($nom_f ic, $nom_vignette) { 
/* Creation d'une vignette. */ 
$largeur_vignette = 125; 
$hauteur_vignette = $largeur_vignette ; 



On charge ensuite l'image en memoire d'apres son extension en utilisant 
les fonctions imagecreatef romformat ( ) de GD qui renvoient un descripteur 
d'image. II faut tout de suite noter, qu'ici, il n'y a aucune verification d'erreur 
car mkthumb( ) suppose que vous avez rempli tous les prerequis. Si vous voulez 
ajouter ce controle des erreurs, il suffit de verifier que $image_src existe apres 
l'appel. 



if (preg_match( 1 /\ .gifS/i ' , $nom_fic)) { 

$image_src = imagecreatef romgif ($nom_fic) ; 
} else if (preg_match( 1 /\.png$/i' , $nom_fic)) { 

$image_src = imagecreatef rompng ($nom_fic) ; 
} else { 

/* Part du principe qu'il s'agit d'une image JPEG par defaut */ 
$image_src = imagecreatef romj peg ($nom_fic) ; 

} 



Puis, on extrait la largeur et la hauteur de l'image avec les fonctions imagesx( ) 
et imagesy(): 



$largeur = imagesx ($image_src) ; 
Shauteur = imagesy ($image_src) ; 



On ne modifie la taille de l'image que si les dimensions de l'image originale 
sont superieures aux dimensions maximales des vignettes : 



if ((Shauteur > $hauteur_vignette) || ($largeur > $largeur_vignette) ) { 



Pour modifier la taille d'une image, on a besoin de connaitre ses dimensions 
finales. On ne peut pas utiliser la largeur et la hauteur maximale des vignettes car 
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l'image initiale n'est peut-etre pas carree : si Ton tentait d'imposer de telles 
dimensions a une image rectangulaire, elle apparaitrait deformee . Pour resou- 
dre ce probleme, on recherche done le plus long cote de l'image initiale et on 
utilise un rapport d'echelle egal au rapport entre la longueur du plus grand cote 
et celle du cote de la vignette : 



/* Creation d'une vignette. */ 
if ($largeur > Shauteur) { 

$ratio = $largeur_vignette / Slargeur; 
} else { 

$ratio = $hauteur_vignette / Shauteur; 

} 



ATTENTION La raison pour laquelle celte fonclion utilise des dimensions de vignettes carries est que le 
raisonnement precedent ne marche pas pour des rectangles generiques. Si vous essayez de 
transformer une image de 200 par 400 pixels en une vignette de 100 par 400, $ratio vau- 
dra 1 et vous obtiendrez une vignette de 200 par 400 ( voir le code qui suit). Cette taille est 
done superieure a la taille maximale d'une vignette. Corriger ce probleme n 'est pas complique, 
mais nous le laissons en exercice au lecteur. 

On utilise le ratio d'echelle pour trouver les dimensions exactes de la 
vignette en pixels, puis on cree un nouveau descripteur pour une image avec 
cette nouvelle taille : 



$nouv_largeur = round (Slargeur * $ratio); 
$nouv_hauteur = round($hauteur * $ratio); 
$image_dest = ImageCreateTrueColor($nouv_largeur 


, $nouv_hauteur) ; 




On peut alors creer la nouvelle image avec 
fonction imagecopyresampled ( ) : 


cette nouvelle taille grace 


a la 


imagecopyresampled ($image_dest , $image_src, 0, 
$nouv_largeur, $nouv_hauteur, 


, 0, 0, 

Slargeur, Shauteur); 




L'image initiale en memoire ne servant plus a rien, on libere l'espace qu 
occupe : 


'elle 


imagedestroy($image_src) ; 



$image_dest contient maintenant les donnees de l'image redimensionnee, 
prete a etre afnehee. Si Ton n'a pas eu besoin de modifier la taille, on echoue 
dans la clause else suivante, qui indique que Ton peut affecter Simage dest avec 
le descripteur de l'image initiale : 
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} else { 

/* L'image est deja suf f isamment petite... On la renvoie simplement. */ 
$image_dest = $image_src; 

} 



On sait maintenant que Ton peut afficher $image_dest ; il reste a l'ecrire dans 
le fichier passe comme deuxieme parametre et a liberer la memoire qu'elle 
occupe : 



image] peg ($image_dest , $nom_vignette) ; 
imagedestroy($image_dest) ; 

} 

?> 



Voici un script tres simple qui montre comment utiliser la fonction 
mkthumb( ) : 



<?php 

include ( "mkthumb . inc" ) ; 
$fichier = $_FILES[ "fichier" ][ "tmp_name" ] ; 
$fn = $_FILES[ "fichier" ][ "name" ] ; 
$nom_vignette = "vignettes/$f n" ; 

if ($fichier) { 

mkthumb($f ichier, $nom_vignette) ; 

print "<img src=\ "$nom_vignette\ " />"; 
} else { ?> 

<form action="thumb.php" enctype="multipart/f orm-data" method="post"> 

Deposer une image :<br /> 

<input name="f ichier" type="file" /><br /> 

<input name=" Submit" type="submit" value="Deposer" /> 

<? 

} 

?> 



Ce script fait evidemment un tres grand nombre de suppositions ; ne l'utilisez 
jamais en production ! La recette n°54, "Deposer des images dans un repertoire" 
presente, par contre, un script de depot d'images complet. 

La fonction mkthumb ( ) peut etre optimisee de differentes facons pour s'adap- 
ter a vos besoins particuliers. JPEG est un format avec perte, par exemple : si vous 
creez une vignette d'un fichier GIF ou PNG, celle-ci sera de mauvaise qualite. 
Pour corriger ce probleme, vous pouvez choisir de creer la vignette au format 
PNG en appelant la fonction imagepng() au lieu de imagejpeg(). Vous pourriez 
egalement essayer de ruser en modifiant la taille de l'image initiale. Malheureu- 
sement, cela risque de se retourner contre vous car les images GIF ont un ensemble 
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de couleurs limite et, lorsque vous modifiez la taille d'une image, les couleurs ont 
tendance a changer egalement. 

De toutes facons, evitez les astuces de manipulation des images en PHP : les 
scripts sont generalement utilises a la demande et vous avez done peu de temps 
pour effectuer des operations amusantes mais couteuses en temps d'execution. 
Non seulement vos utilisateurs s'impatienteraient, mais le serveur web ne laisserait 
pas non plus votre script s'executer assez longtemps. 
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11 

UTILISATION DE cURL 
POUR LES SERVICES WEB 




Internet regorge d' informations tres interessan- 
tes : UPS peut vous dire le prix exact du transport 
d'un paquet de 3 kg de Baton Rouge en Louisiane 
vers Toulouse en France. Authorize.net peut vous 
dire s'il reste sufnsamment d'argent sur le compte d'un 
client pour qu'il puisse acheter un livre qui coute 50 € 
sur votre site. Cependant, vous devez savoir comment 
demander ces informations. 

Pour les trouver, vous devriez toujours penser a la bibliotheque cURL de PHP 
pour gerer la connexion entre votre serveur web et les autres. Le principe 
consiste a considerer que vos scripts sont des clients, un peu comme des naviga- 
teurs web. Vous pouvez demander a cURL tout ce qui va de la recuperation du 
code HTML d'une page web a l'acces a un service web reposant sur XML. II y a 
trois facons d'acceder aux donnees : 

• On telecharge la page web du site pour decortiquer son code HTML, comme 
on l'a explique au Chapitre 5, a la recette n°41, "Extraire des donnees des 
pages". 

• On poste des parametres de requetes et on fait le tri dans le resultat. 



• On utilise l'API d'un service web pour acceder aux donnees et on analyse le 
resultat avec un parseur XML. Vous rencontrerez differents protocoles 
comme SOAP (Simple Object Access Protocol) ou REST (BEpresentational State 
Transfer ; c'est generalement une autre facon d'appeler l'envoi de parametres 
POST ou GET). N'attendez pas trop de coherence : meme si deux sites four- 
nissent le meme type de donnees, il est fort probable que leurs formats de 
sortie et leurs methodes d'acces soient differents. 

Selon ce que vous comptez faire, vous aurez egalement besoin d'une partie 
des bibliotheques suivantes : 

1. cURL (la bibliotheque et l'extension PHP). Voyez la recette n°28, "Ajouter 
des extensions a PHP", si cette extension n'est pas deja installee. 

2. OpenSSL pour acceder aux sites securises. 

3. XML pour analyser les donnees provenant des services web. Les exten- 
sions XML (telles libXML) sont installees par defaut sur la plupart des 
serveurs PHP. 

Recette 68 : Se connecter d d'autres sites web 

Pour illustrer l'utilisation des fonctions cURL de PHP, voyons comment nous 
connecter a une page web pour recuperer ses donnees. On cree d'abord un 
descripteur de connexion cURL en appelant la fonction curl init ( ) : 



$c = curl_init ( ) ; 



On utilise ensuite la fonction curl setopt ( ) pour preciser les options de 
connexion, dont la plus importante est l'URL cible. L'appel est de la forme 
suivante (CURLOPT URL est le nom de l'option et le dernier parametre est l'URL 
cible) : 



curl_setopt(Sc, CURLOPTJJRL, "http://www.google.fr/"); 



Par defaut, cURL active certaines fonctionnalites qui, soit sont inudles, soit 
genent un traitement de page classique. L'une d'elles consiste a inclure l'en-tete 
HTTP dans le resultat ; vous pouvez la desactiver de la facon suivante : 



curl_setopt($c, CURLOPT_HEADER, false); 



De meme, cURL affiche automatiquement la page accedee au lieu de la ren- 
voyer sous forme de chaine. Comme vous avez besoin d'une chaine pour analyser 
le contenu de la page, utilisez l'opdon CURLOPT RETURNTRANSFER pour indiquer 
que vous voulez obtenir le resultat sous cette forme : 



curl_setopt(Sc, CURLOPT_RETURNTRANSFER , true); 
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Nous sommes maintenant pret a acceder a la page grace a la fonction curl 
exec( ) : 



$donnees_page = curl_exec($c) ; 



Avec cet appel, cURL accede a la page et renvoie les donnees qu'elle contient ; 
celles-ci sont alors affectees a la variable Sdonnees page. Enfin, il ne reste plus 
qu'a fermer la connexion avec curl_close( ) pour liberer la ressource : 



curl_close($c) ; 



C'est un bon debut car nous pouvons maintenant acceder a des donnees web 
via la methode GET. Par contre, pour soumettre des donnees avec la methode 
POST, nous devons configurer des options supplementaires avec curl_setopt( ). 
Nous allons done ecrire une fonction recup_page() permettant d'acceder aux 
pages avec la methode GET ou POST 

Cette fonction attend deux parametres : l'URL cible et un tableau faculta- 
tif de parametres POST (les cles seront les noms des parametres et seront 
associees a leurs valeurs). Si ce second parametre n'est pas fourni a l'appel, la 
fonction utilise la methode GET. La premiere partie de son code consiste a 
construire une chaine de requete a partir du tableau des parametres, de la 
forme paraml =valeur1 &param2=valeur2 [ . . . ], exactement comme pour une 
requete GET sauf qu'elle ne commence pas par un point d' interrogation. La 
fonction predefinie http_build_query() permettant de creer ce type de 
chaine a partir d'un tableau, il ne nous reste plus qu'a verifier le parametre 
tableau : 



function recup_page($url, $params_post = null) { 

/* Connexion a un site avec POST ou GET et recuperation des donnees */ 
$chaine_requete = null; 
if ( !is_null($params_post) ) { 
if ( ! is_array($params_post) ) { 
die("Les parametres POST ne sont pas sous forme de tableau."); 

} 

/* Construction de la chaine de requete. */ 
$chaine_requete = http_build_query($params_post) ; 

} 



On peut maintenant configurer le descripteur de connexion cURL. S'il 
existe une chaine de requete a ce stade, on sait que c'est parce qu'on utilise la 
methode POST ; on met done en place la connexion en utilisant cette chaine 
comme donnees POST : 



Sen = curl_init( ) ; 

if ($chaine_requete) { 
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curl_setopt($ch, CURLOPT_POST, true); 
curl_setopt($ch, CURLOPT_POSTFIELDS, $chaine_requete) ; 

} 



A partir de maintenant, on configure la connexion comme on l'a fait plus 
haut, on execute la requete, puis Ton renvoie les donnees : 



curl_setopt($ch, CURLOPTJJRL, Surl) ; 
curl_setopt($ch, CURLOPT_HEADER , false); 
curl_setopt(Sch, CURLOPT_RETURNTRANSFER, true); 
$donnees_renvoyees = curl_exec($ch) ; 
curl_close(Sch) ; 
return $donnees_renvoyees ; 

} 



Voici comme utiliser cette fonction pour faire une recherche sur Yahoo! : 



print recup_page( "http: //search. yahoo. com/ search" , 
array ("p" => "vache")); 



Cette fonction convient a la plupart des besoins classiques des acces clients. 
Nous allons maintenant montrer comment satisfaire les exigences de certains 
sites et services. 

Recette 69 : Utiliser les cookies 

Si vous devez vous connecter a un serveur qui utilise une authentification par 
cookie, il faut mettre en place dans cURL un systeme de recuperation des coo- 
kies. Le principe consiste a faire en sorte que cURL stocke dans un fichier (un 
"pot a cookies") les cookies qu'il recoit lors de l'acces a une page et, lors des acces 
suivants, qu'il recherche dans ce fichier les cookies qu'il doit envoyer au serveur. 

Pour cela, vous devez typiquement aj outer deux lignes de configuration : la 
premiere pour definir l'emplacement ou ecrire, la seconde pour preciser 
l'emplacement ou lire : 



curl_setopt(c, CURL0PT_C00KIEJAR, 1 pot_cookies ' ) ; 
curl_setopt(c, CURL0PT_C00KIEFILE, 1 pot_cookies 1 ) ; 



Ici, c est un descripteur de connexion cURL et pol_cookies est un fichier acces- 
sible en ecriture. 

Le plus grand inconvenient de cette approche est qu'elle ne fonctionne pas 
avec les connexions en parallele ; si plusieurs processus utilisent le meme pot a 
cookies, ils auront la meme session et se marcheront dessus les uns et les autres, 
voire pire. Vous pouvez contourner ce defaut en inserant le PID du processus 
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PHP (avec getmypid ( ) ) dans le nom du fichier du pot a cookies. Cependant, vous 
devez alors vous assurer de supprimer le fichier en question lorsque vous avez ter- 
mine, ou vous finirez par avoir un grand nombre de pots a cookies qui risquent 
de perturber les processus suivants. 

Recette 70 : Transformer du XML sous une forme utilisable 

XML (extensible Markup Language) est l'un des langages a balises les plus 
connus. II est concu pour fournir des formats d'echange standard pour tout type 
de donnees. Bien que XML soit lourd et terriblement inefficace, la plupart des 
services web l'utilisent en format de sortie et certains l'exigent meme comme for- 
mat d'entree. Vous devrez done surement le traiter a un moment ou a un autre. 

Le meilleur moyen de commencer avec XML consiste a analyser un fragment 
de document, e'est-a-dire a verifier que les donnees sont du XML valide, puis a 
les examiner. Vous pensiez qu'avec tout le bruit qui a accompagne l'introduction 
de XML quelqu'un aurait deja trouve un moyen de le traiter simplement ? 
Malheureusement, depuis des annees, l'acces aux donnees XML est redoutable- 
ment complique ; des milliers de systemes d'analyse ontvu lejour, comme DOM 
et SAX. Rien d'etonnant a ce que vous soyez perdu parmi les 27 000 extensions 
PHP consacrees a XML. 

La bonne nouvelle est que Ton s'est desormais rendu compte que, la plupart 
du temps, on se contentait d'analyser les donnees XML comme un arbre forme 
d'un grand nombre de tableaux imbriques afin que les programmeurs puissent 
utiliser des outils d'acces aux donnees normaux, comme les iterateurs et les indi- 
ces. Une nouvelle generation d'analyseurs est done apparue dans ce but et PHP 
dispose d'une telle extension : SimpleXML. 

Voici un exemple de document XML permettant d'introduire SimpleXML : 



<?xml version="1 .0" encoding="utf-8"?> 
<sermon> 
<peches> 

<peche type="mortel">gourmandise</peche> 
<peche type="mineur">mauvais jeu de mots</peche> 
<peche type="necessaire">flatulence</peche> 
</peches> 
</sermon> 



Ce fragment contenant des nceuds imbriques, des donnees et des attributs, il 
couvre a peu pres tout ce que vous rencontrerez. Pour l'analyser avec Sim- 
pleXML, il suffit de placer les donnees dans une chaine et de s'en servir pour 
creer un objet SimpleXMLElement : 



$xs = f ile_get_contents( "test .xml" ) ; 
$donnees = new SimpleXMLElement ($xs) ; 
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NOTE Au lieu de passer par ces deux Stapes, vous pouvez aussi creer I 'objet a partir d 'un fichier en 
appelant simplexml_load_file ( ) . 

Si aucun message d'erreur n'est produit, le document XML se trouve mainte- 
nant dans l'objet $donnees. Pour examiner le premier peche du nceud <peches>, 
on utilise une combinaison de syntaxe orientee objet et d'acces aux tableaux : 



print $donnees->peches->peche[0] ; 



Cela affichera gourmandise ; si vous voulez acceder au nceud mauvais jeu de 
mots, il faut examiner $donnees->peches->peche[ 1 ]. Si vous n'utilisez pas d'indice 
(Sdonnees->peches->peche) , vous obtiendrez le premier element du tableau, ce 
qui est pratique si vous savez qu'il n'y a qu'un seul element. 

Vous pouvez egalement examiner les attributs d'un nceud en utilisant des 
indices, sauf que ces derniers sont desormais des chaines et non des nombres. 
Pour, par exemple, connaitre le type de peche correspondant a mauvais jeu de 
mots, il suffit d'ecrire : 



print $donnees->peches->peche[ 1 ] [ "type" ] ; 



Le plus grand interet de la syntaxe d'acces aux tableaux est qu'elle permet de 
parcourir tous les nceuds. Voici, par exemple, comment afficher tous les peches 
de notre document : 



foreach ($donnees->peches->peche as $peche) { 

print $peche . " : " . $peche[ "type" ] ; 

print "<br />"; 

} 



Comme vous l'avez surement remarque, il est possible de confondre les attri- 
buts et les nceuds fils avec cette syntaxe mais, en general, ce n'est pas trop grave. 
Vous pouvez meme utiliser print r ( ) pour tout afficher, auquel cas vous obtiendrez 
le resultat suivant : 



SimpleXMLElement Object 
( 

[peches] => SimpleXMLElement Object 
( 

[peche] => Array 
( 

[0] => gourmandise 

[1] => mauvais jeu de mots 

[2] => flatulence 
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SimpleXML peut faire beaucoup plus, notamment creer et modifier un 
document XML, mais ce que nous avons presente ici est sufHsant pour commen- 
cer a travailler avec les services web. Dans les sections suivantes, nous allons 
etudier quelques applications reelles. 

Recette 71 : Utiliser des services web de localisation 
geographique 

Maintenant que vous savez acceder a une URL et analyser un document 
XML, il est temps de les combiner . Nous allons prendre le service de geolocalisa- 
tion de Yahoo! comme exemple. L'API est un service REST que Ton peut acceder 
via des parametres GET. A l'aide de la foncdon recup_page( ) de la recette n°68, 
"Se connecter a d'autres sites web", voici comment obtenir des informations sur 
l'adresse "47terue des Vinaigriers 75010 Paris". 



$requete = http_build_query(array( 

"appid" => "YahooDemo" , 

"street" => "47bis rue des Vinaigriers", 

"city" => "Paris", 

)); 

$page = recup_page ( "http: / /local . yahooapis . com/MapsService/V1 /geocode?$requete" ) ; 



NOTE Dans Videal, vous remplacerez YahooDemo par votre identifiant Yahoo! pour cette applica- 
tion, bien que vous pouvez la laissez telle quelle si vous ne comptez pas utiliser cette appli- 
cation en production ni trop souvent. Utilisez eventuellement les parametres "state" et 
"zip" si vous recherchez une adresse americaine. Vous avez egalement la possibility d'utili- 
ser le parametre "country" afin de preciser qu'il s'agit d'une adresse en France, mais la 
requite fonctionne en I'etat dans notre exemple precedent - il n'existe pas d'homonyme. 
Comme vous le verrez par la suite, le document XML renvoye se complete automatiquement 
et mentionne "France" dans la balise <state> et "FR" dans <country>. Vous avez done 
parfaitement le droit d'ajouter" country" => "FR" dans la requete precedente, afin d'elimi- 
ner le moindre doute ! 

Apres l'execution de ce code, Spage contient le document XML suivant : 



<?xml version="1 .0"?> 

<ResultSet xmlns : xsi=" http : / /www. w3.org/ 2001 /XMLSchema- instance" 
xmlns="urn : yahoo : maps" xsi : schemaLocation=" urn : yahoo : maps http : // 
api . local . yahoo . com/MapsService/V1 /GeocodeResponse . xsd " > 

<Result precision="address"> 
<Latitude>48.873032</Latitude> 

Utilisation de cURL pour les services web 169 



<Longitude>2.360605</Longitude> 
<Address>47tois , rue des Vinaigriers</Address> 
<City>75010 Paris</City> 
<State>France</State> 
<Zip/> 

<Country>FR</Country> 

</Result> 
</ResultSet> 



Pour extraire la latitude et la longitude d'une adresse, il suffit done d'utiliser 
ce code PHP : 



$donnees = new SimpleXMLElement ($page) ; 
$lat1 = $donnees->Result->Latitude[0] ; 
$lon1 = $donnees->Result->Longitude[0] ; 



Si vous ne vouliez connaitre que ces deux informadons, vous avez termine 
l'udlisation du service web. Faisons maintenant quelque chose d'un peu plus 
amusant. Supposons d'abord que le script s'appelle demo_carte.php et qu'il est 
execute a la reception de ce formulaire : 



<form action="demo_carte . php"> 

Rue : <input type="text" name="rue" /><br /> 

Ville : <input type="text" name="ville" /><br /> 

Etat/Pays : <input type="text" name="etat" /><br /> 

<input type="submit" /><br> 

</f orm> 



Ajoutez les lignes suivantes a carte_demo.php afin d'extraire un second 
emplacement geographique correspondant a l'adresse qui sera saisie dans ce 
formulaire : 



$requete = http_build_query(array( 
"appid" => "YahooDemo" , 
"street" => $_REQUEST[ "rue" ] , 
"city" => $_REQUEST[ "ville"], 
"state" => S_REQUEST[ "etat" ] , 

)); 

$page = recup_page( "http: / /local . yahooapis . com/MapsService/V1 /geocode?$requete" ) ; 
$donnees = new SimpleXMLElement ($page) ; 
$lat2 = $donnees->Result->Latitude[0] ; 
$lon2 = $donnees->Result->Longitude[0] ; 
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Representons maintenant un point sur une carte a l'aide de l'API de Google 
Maps, mais en utilisant les donnees que nous venons de recuperer du service 
Yahoo!. On commence par fermer le bloc PHP et on met en place une carte Goo- 
gle avec ce code HTML et JavaScript (remplacez votre_ck par votre identifiant 
Google Maps). Si vous ne connaissez pas JavaScript, ne vous inquietez pas car ce 
code est tres classique : 

?> 

<!D0CTYPE html "-/ /W3C//DTD XHTML 1.0 Strict//EN" 

"http://www.w3.org/TR/xhtml1 /DTD/xhtml1 -strict .dtd"> 
<html xmlns="http: //www.w3.org/1999/xhtml"> 
<head> 

<meta http-equiv="content-type" content="text/html; charset=utf-8" /> 
<title>Exemple de carte</title> 
<script src="http: / /maps .google .com/ 
maps?f ile=api& v=2& key=yotre_de" 

type= "text /JavaScript "></script> 

<script type= "text /JavaScript "> 
function initialize() { 

if (GBrowserIsCompatible( ) ) { 

var map = new GMap2(document . getElementByld ( "canevas_carte" ) ) ; 



Puis, creez les points sur la carte Google correspondant aux deux emplace- 
ments extraits precedemment et centrez la carte sur le premier (ceci avant toute 
operation) : 

var latlonl = new GLatLng (<?php print "$lat1, $lon1 " ; ?>); 
var latlon2 = new GLatLng (<?php print "$lat2, $lon2"; ?>) ; 
map. setCenter( latlonl ) ; 



Placez des marqueurs sur les emplacements : 

map.addOverlay(new GMarker(latlon1 ) ) ; 
map.addOverlay(new GMarker(latlon2) ) ; 



Tracez une ligne entre les points : 

var ligne = new GPolyline( [latlonl , latlon2], "#3333aa", 5); 
map. addOverlay( ligne) ; 
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Puis recentrez la carte et zoomez pour que la ligne occupe toute la vue : 



var limites = line . getBounds ( ) ; 

niveau = map. getBoundsZoomLevel( limites ) ; 

map. setCenter( limites. getCenter( ) , niveau) ; 



Enfin, ajoutez un panneau de controle (pour le zoom et le defilement) et 
enveloppez le tout dans du code HTML pour afficher la carte : 



map.addControl(new GLargeMapControl( ) ) ; 

} 

} 

</script> 
</head> 

<body onload=" initialize () " onunload="GUnload ( ) "> 

<div id="canevas_carte" style="width : 500px; height: 300px"></div> 
</body> 
</html> 



Vous disposez done desormais d'une application simple permettant de tracer 
une ligne sur Google Maps entre les bureaux de Pearson Education France et 
l'adresse de votre choix. En lui-meme, ce script n'est qu'un jouet (notamment 
parce que vous pouvez obtenir les informations de geolocalisation avec Google 
au lieu de Yahoo! ) , mais e'est un point de depart qui n'attend que votre imagination 
pour produire de veritables applications. 

Nous pourrions condnuer a vous presenter des services web et vous montrer 
comment autoriser des cartes de credits et se faire payer les frais d'expedition, 
mais tout cela revient toujours au meme : vous recuperez des donnees aupres 
du client, vous les empaquetez pour le serveur, vous envoyez la requete et vous 
obtenez le resultat ; d'ailleurs, dans la plupart des cas, vous trouverez probablement 
du code PHP qui fait le travail pour vous. II nous reste done a presenter SOAP, un 
protocole tres important car il est utilise par de nombreux services web. 

Recette 72 : Interroger Amazon avec PHP et SOAP 

SOAP (Simple Object Access Protocol) est un service web standard et complet 
qui, comme tout ce qui comporte simple dans son nom est tout sauf simple. Le 
principe consiste a placer tous les details sur l'entree et la sortie d'un service web 
dans un document WSDL ( Web Services Description Language) afin de pouvoir pro- 
duire automatiquement une interface de programmation et appeler un service 
web exactement comme une methode ou une fonction. Vous n'avez pas 
besoin de vous occuper de cURL, de construire des requetes, etc. II suffit de 
creer un objet avec votre requete, de demander a PHP de creer l'interface, 
d'appeler la methode et vous obtiendrez un objet contenant plein de bonnes choses. 



172 Chapitre 1 1 



En fait, quand tout fonctionne correctement, c'est aussi simple que cela et le 
script de cette section vous mettra le pied a l'etrier. 

PHP 5 contient un ensemble de classes SOAP predefinies, dont SoapClient 
que nous presenterons bientot. Cependant, ces classes ne sont generalement pas 
construites par defaut : il faut utiliser l'option - -enable- -soap lors de la configu- 
ration et de la compiladon de PHP (voyez le Chapitre 2 pour plus de precisions 
sur cette etape). 

Notre exemple repose sur le service web "Associates" offert par Amazon pour 
vous aider a vendre des ardcles sur son site. II faut seulement demander un iden- 
tifiant et vous avez ensuite un acces gratuit au service (a raison d'une requete par 
seconde). On commence par creer une instance de SoapClient en indiquant 
F emplacement du document WSDL : 



<?php 

$client = new SoapClient (" http : //webservices . amazon . com/AWSECommerceService/ 
AWSECommerceService.wsdl" ) ; 



II faut ensuite configurer un objet pour la requete que Ton veut envoyer. Ici, 
on parametre un objet $recherche contenant des nceuds pour l'identifiant 
d'acces, la categorie et les mots-cles d'une recherche : 



$recherche-->AWSAccessKeyId = "votre_cle"; 
$recherche-->Request-->SearchIndex = "Music"; 
$recherche-->Request-->Keywords = "James Blunt"; 



Pour lancer cette recherche, il suffit d'appeler la methode itemSearch() du 
client : 



$r = $client->itemSearch($recherche) ; 



Si tout s'est bien passe, $r contiendra le resultat XML que vous pourrez consulter 
comme une instance SimpleXML : 



foreach ($r->Items->Item as Selt) { 
$attributs = $elt->ItemAttributes; 
if (is_array($attributs->Artist) ) { 

$artiste = implode ($attributs->Artist, ", "); 
} else { 

$artiste = $attributs->Artist; 

} 

print "Artiste : Sartiste ; titre : $attributs->Title<br />"; 

} 

?> 
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C'est done tres simple si vous savez comment tout cela fonctionne. Malheu- 
reusement, la plupart du temps ce ne sera pas le cas. Les fichiers WSDL sont sou- 
vent fournis sans aucune documentation et, en supposant que vous lisez du 
WDSL, vous pourrez retrouver toutes les methodes disponibles et les parametres 
qu'elles attendent, mais vous ne saurez pas a quoi servent ces parametres. En 
outre, meme si vous savez a quoi ressembleront les reponses aux methodes, vous 
ne saurez meme pas ce que sont censees faire ces methodes exactement. Cela est 
du en partie au fait qu'il est difficile de tirer parti d'une documentation 
lorsqu'on ne connait pas le langage de programmation ou l'implementation 
SOAP utilisee. De plus, personne ne veutles documenter. 

Un autre probleme serieux concerne les performances. Dans l'exemple pre- 
cedent, PHP doit trouver le fichier WSDL, analyser son contenu XML puis creer 
une toute nouvelle classe et une instance a partir de ce contenu. Tout ceci est tres 
inefficace, surtout si Ton considere que Ton a simplement besoin d'envoyer quel- 
ques petits parametres a un service. PHP met en cache les fichiers WSDL qu'il 
rencontre (d'autres langages peuvent exiger que vous produisiez un code com- 
pile a partir de WSDL, ce qui n'est pas beaucoup plus efficace) . En consequence, 
si vous comptez lancer immediatement un certain nombre de requetes pour des 
services web reposant sur WSDL, vous aurez besoin soit d'un materiel puissant, 
soit d'un moyen de contourner une bonne partie de ce processus en construisant 
manuellement les requetes SOAP. 

Pour toutes ces raisons, les services web SOAP ne sont pas aussi repandus 
qu'on pourrait le penser. Celui d'Amazon.com, par exemple, n'a ete ajoute que 
recemment et cohabite avec un service REST traditionnel. Amazon.com docu- 
mente les parametres REST mais vous renvoie a la lecture du fichier WSDL pour 
savoir comment faire en SOAP. Une autre societe du nom de Google a decide 
d'abandonner SOAP pour son service de recherche web. Cependant, SOAP n'est 
pas mort : vous le rencontrerez surement lorsque vous aurez a faire a des services 
utilisant l'architecture .NET de Microsoft. 

Recette 73 : Construire un service web 

Pour conclure ce chapitre, voyons rapidement comment construire un ser- 
vice web REST. Le principe ressemble beaucoup a celui des autres types de pages 
dynamiques mais, au lieu de se soucier de l'aspect de la page, on ne s'occupe que 
de creer correctement un objet, de le transformer en XML et d'afneher le resultat. 
Le reste n'est plus notre probleme (du moins, en theorie). 

Nous utiliserons les donnees de la table SQL fournie en annexe. Le service 
web prend un parametre (GET ou POST) representant une categorie de produit 
et renvoie une liste d'articles sous la forme suivante : 



<?xml version="1 .0" encoding="utf-8"?> 
<Articles> 
<Article> 
<Nom>Bottes Western</Nom> 
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<ID>12</ID> 

<Prix>19.99</Prix> 
</Article> 
<Article> 

<Nom>Pantouf les</Nom> 

<ID>17</ID> 

<Prix>9.99</Prix> 
</Article> 
</Articles> 



II existe de nombreuses facons de creer du XML en PHP, allant de DOM aux 
fonctions xlmwriter. Ici, nous utiliserons la classe SimpleXML que Ton a deja pre- 
sentee dans ce chapitre. La premiere etape consiste a initialiser la connexion 
avec la base de donnees, a indiquer au client qu'il va recevoir du XML et a veri- 
fier le parametre categoric C'est un traitement classique et vous avez maintenant 
l'habitude de ce genre de code (ne vous occupez pas de l'appel a affiche_ 
erreur( ), nousy reviendrons plus tard) : 



<?php 

$bd = mysql_connect( "localhost" , "nom_utilisateur" , "secret"); 
mysql_select_db ( " nom_base " ) ; 

header("Content-type: text/xml") ; 
$categorie = $_REQUEST[ "categorie" ] ; 

if ($categorie) { 

Sresultat = mysql_query( "SELECT DISTINCT categorie 
FROM infos_produits" , Sbd); 

Scategories = array(); 

while ($ligne = mysql_f etch_array($resultat) ) { 
$categories[ ] = $ligne[ "categorie" ] ; 

} 

if ( !in_array($categorie, Scategories)) { 
aff iche_erreur( "Categorie non reconnue. "); 
exit; 

} 

} 



NOTE Techniquement, il n 'est pas necessaire de faire tout ce traitement pour trouver les noms de 
categories possibles car vous pourriez les mettre en cache ( et vous devriez le faire si vous les 
utilisez souvent). 

Recuperons maintenant les informations sur les produits a partir de la base 
de donnees : 
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$resultat = mysql_query( "SELECT nom_produit , num_produit , prix 
FROM inf os_produits 

WHERE categorie = ' Scategorie ' " , $bd); 



Les choses vont maintenant commencer a devenir interessantes. Pour initiali- 
ser le document XML, on cree une instance de SimpleXMLElement a partir d'un 
document existant : libre a vous de le personnaliser et de le rendre eventuelle- 
ment plus complexe. Notre structure XML de base etant tres simple, nous utili- 
sons une chaine en ligne : 



$doc = new SimpleXMLElement ( '<?xml version="1 .0" encoding="utf-8"?> 

<Articles></Articles> 

'); 



Le document est pret a etre rempli et les donnees se trouvent dans Sresul- 
tat : il reste done a parcourir les lignes. La premiere operation consiste a ajouter 
un nouveau nceud fils Article au nceud Articles avec la methode $doc->add- 
Child() : 



while (Sproduit = mysql_f etch_array($resultat) ) { 
$fils = $doc->addChild( "Article" ) ; 



Le premier fils est maintenant accessible par $doc->Article[0], mais il est 
plus simple d'utiliser le descripteur renvoye par la methode addChild( ). Ce nou- 
veau fils a maintenant besoin de ses propres nceuds fils Norn, ID et Prix que nous 
creerons avec la methode addChild() appliquee cette fois-ci a $fils au lieu de 
$doc. Ces nouveaux nceuds ayant des valeurs, nous les fournissons en deuxieme 
parametre : 



$fils->addChild( "Nom" , $produit[ "nom_produit" ] ) ; 
$fils->addChild("ID" , Sproduit [ "num_produit" ] ) ; 
$fils->addChild("Prix" , Sproduit [ "prix" ] ) ; 

} 



Apres avoir traite tous les articles, il reste a produire le document XML en 
appelant la methode $doc->asXML( ) : 



print Sdoc->asXML( ) ; 



En fait, vous n'avez pas tout a fait encore termine car il faut vous occuper de 
la fonction aff iche_erreur( ) que nous avons mentionnee plus haut. Comme 
nous supposons que le message d'erreur est tres simple, nous n'avons pas a nous 
occuper des objets : 
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function af f iche_erreur($message) { 
Smessage = htmlentities($message) ; 
print "<?xml version=\ " 1 . 0\ " encoding=\ " utf-8\ "?> 
<Erreur>$message</Erreur> 



} 

?> 



Nous en avons termine avec les services web. II y a bien sur des milliers de 
facons de les compliquer - en utilisant SOAP et WSDL notamment - mais, en 
definitive, tout cela revient a rassembler des donnees et a les placer dans les 
bonnes cases. 
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MISE EN APPLICATION 




Ce dernier chapitre contient trois ensembles 
de scripts qui implementent des fonctionnalites 
classiques que Ton trouve sur de nombreux sites 
web diffuseurs de contenus : un systeme de sondage, 
un service de carte postale electronique et un blog. 

Ce ne sont que des points de depart : bien qu'ils fonctionnent parfaite- 
ment, vous devrez les adapter a vos besoins et a votre politique de securite avant 
de les utiliser en production. 

Tous ces projets utilisent MySQL pour stocker leurs donnees. La structure 
des tables et les requetes utilisees ici sont un peu plus compliquees que celles que 
vous avez deja rencontrees dans ce livre, mais ce n'est pas infranchissable. Cha- 
que systeme utilise ses propres tables et nous vous expliquerons comment les 
creer. 



Recette 74 : Un systeme de sondage 

Les sondages en ligne ne sont pas tres utiles pour justifier quoi que ce soit, 
mais ce sont des outils pratiques pour savoir comment orienter votre contenu 
afin que vos visiteurs soient toujours interesses, d'optimiser les aspects des pages 
ou d'irriter le plus de personnes possible. L'aspect le plus positif de ces sondages 



est qu'ils sont tres simples a mettre en oeuvre. Celui que nous presentons ici 
devant permettre d'effectuer des sondages multiples, les questions et les reponses 
ne sont pas codees en dur. 

Pour un sondage en ligne classique, vous n'avez normalement pas a trop vous 
soucier de tout ce qui concerne les votes car cela a rarement de l'importance. 
Pour empecher que Ton puisse voter plusieurs fois, nous utiliserons des cookies. 
Bien que ce systeme puisse facilement etre contourne, les enjeux sont generale- 
ment si peu importants que personne ne s'en soucie et, si vous avez besoin d'un 
systeme plus liable, vous pouvez utiliser un systeme d'authentification pour enre- 
gistrer les votes. 

Ce systeme de sondage comporte quatre scripts : 

form_vote.php : Affichage d'un bulletin de vote pour l'utilisateur. 

traitement_vote.php : Traitement d'un vote. 

affichage_vote.php : Affichage des resultats du sondage. 

config_vote.php : Connexion a la base de donnees. 

II utilise trois tables. La table des sondages contient les questions : 

CREATE TABLE sondages ( 

ID INT NOT NULL AUTO_INCREMENT , 

question MEDIUMTEXT NOT NULL , 

PRIMARY KEY ( ID ) 
) TYPE = MY I SAM ; 



La table des reponses contient les reponses aux questions de la table des 
sondages. Le champ ID permet de faire des jointures avec cette derniere : 



CREATE TABLE reponses ( 

ID_reponse INT NOT NULL AUTO_INCREMENT , 

ID INT NOT NULL , 

reponse MEDIUMTEXT NOT NULL , 

PRIMARY KEY ( ID_reponse ) 
) TYPE = MY I SAM ; 



Les champs ID et ID reponse de la table des votes sont des repliques des 
champs correspondants dans les tables des sondages et des reponses : 



CREATE TABLE votes ( 

ID INT NOT NULL , 

ID_reponse INT NOT NULL , 

INDEX ( ID ) 
) TYPE = MY I SAM ; 
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Enfin, voici un exemple de question et les lignes des reponses possibles : 



INSERT INTO sondages (question) VALUES ("Aimez-vous les sandwiches ?"); 

INSERT INTO reponses (ID, reponse) VALUES (1, "Oui."); 

INSERT INTO reponses (ID, reponse) VALUES (1, "Non."); 

INSERT INTO reponses (ID, reponse) VALUES (1, "Je ne sais pas."); 



Tous les scripts se connectant a la base de donnees, il est preferable de placer 
les details de connexion dans un fichier config_vote.php qui sera inclus par tous les 
autres : 



<?php 

$bd = @mysql_connect ( "localhost " , "login_sql" , "mdp_sql") or 

die("Echec de la connexion."); 
@mysql_select_db( "nom_base" , Sbd) or 

die ("Impossible de se connecter a la base de donnees."); 

?> 



Etudions maintenant les differents scripts. 

Creation d'un formulate pour les bulletins de vote 

Le script formulaire_vote.php est assez evident : on lui passe un identifiant de 
sondage dans le parametre sondage et il affiche le bulletin, comme dans la 
Figure 12.1. 



Sondage numero 1 
Alraez-vous les sandwiches 7 

Qoui. 

O Jenesais pas. 
f Votez ! 1 



Figure 12.1 : Un bulletin de vote pour un sondage 

II commence par charger la configuration de la base de donnees et verifie 
que l'identifiant de sondage est un entier : 



<?php 

/* Affiche un formulaire pour voter. */ 
require_once( "conf ig_vote . php" ) ; 
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$sondage = $_GET[ ' sondage 1 ] ; 
if ( !is_numeric($sondage) ) { 
die( "Sondage incorrect"); 

} 



Nous pouvons verifier en une seule requete que l'identifiant du sondage est 
correct et rechercher les choix a afHcher. En effet, si aucun sondage ne corres- 
pond a cet identifiant, la requete ne renverra aucune ligne. 



/* Recherche du sondage dans la base de donnees. */ 
$sql = "SELECT S. question, R.reponse, R.ID_reponse 

FROM sondages S, reponses R 

WHERE S.ID = $sondage 
AND R.ID = S.ID"; 

$resultat = mysql_query($sql, $bd) or 
die ("Erreur mysql : " . mysql_error( ) ) ; 

if (mysql_num_rows($resultat) == 0) { 
die( 'Sondage inconnu.'); 

} 



Si l'identifiant de sondage est reconnu, on doit s'assurer que l'utilisateur n'a 
pas deja vote. Comme on l'a explique precedemment, nous le verifierons avec 
des cookies. On suppose que si le cookie id vote (ou id est l'identifiant du son- 
dage) existe, c'est que l'utilisateur a vote, auquel cas on lui envoie le resultat du 
sondage : 



/* Si l'utilisateur a deja vote, on affiche le resultat. */ 
if ($_COOKIE["${sondage}_vote"]) { 

header) " Location : af f ichage_vote . php?sondage=$sondage" ) ; 

exit; 

} 



Si Ton est arrive ici, c'est que l'utilisateur n'a pas encore vote et il faut done 
parcourir la liste des choix pour construire le formulaire. Cette boucle place une 
suite de boutons radios dans la variable Sliste questions : 



/* Formulaire de vote */ 
$liste_questions = ""; 

while($ligne = itiysql_f etch_array($resultat) ) { 
Squestion = $row[ ' question '] ; 

$liste_questions .= '<li><input name="reponse" type="radio" value=" ' . 

$ligne[ ' ID_reponse ' ] . '"> ' . $ligne[ ' reponse' ] . 
'</li>' ; 

} 
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II ne reste plus qu'a afficher le HTML en utilisant au maximum le mode litteral : 



?> 

<html> 

<head></head> 
<body> 

<span style="f ont-size : 12px;"> 

<span style="f ont-weight : bold; font-size: 14px;"> 

Sondage numero <?php print $sondage; ?> 
</span><br /> 

<span style="f ont-weight : bold"><?php print $question; ?></span> 
<form action="traitement_vote.php" method="post"> 

<ul style="list-style-type: none;"> 
<?php print $liste_questions ; ?> 

</ul> 

<input name="sondage" type="hidden" value="<?php print $sondage; ?>"> 
<input name="" type="submit" value="Votez !"> 
</f orm> 
</span> 

</body></html> 



Vous remarquerez que Faction du formulaire est traitement_vote.php, script 
que nous allons maintenant etudier. 

Traitement des votes 

Le but de traitement_vote.php est d'ajouter un vote a la base de donnees s'il est 
valide. II commence par charger la configuration de la base et par s'assurer que 
les parametres sondage et reponse sont bien des nombres : 



<?php 

require_once( "conf ig_vote. php" ) ; 
$sondage = $_P0ST[ ' sondage '] ; 
$reponse = $_P0ST[ ' reponse 1 ] ; 

if ( !is_numeric($sondage) || ! is_numeric ($reponse) ) { 
die( "Sondage ou reponse incorrects . " ) ; 

} 



Nous pouvons verifier que les identifiants du sondage et de la reponse exis- 
tent en recherchant leurs lignes dans la base de donnees. Si c'est le cas, une 
jointure entre la table des sondages et des reponses sur ces champs doit don- 
ner exactement une ligne ; on teste done si cette requete a renvoye quelque 
chose : 
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/* Recherche du sondage et de la reponse. */ 
$sql = "SELECT R.ID_reponse 

FROM sondages S, reponses R 
WHERE S.ID = R.ID 
AND S. ID = $sondage 
AND R.ID_reponse = Sreponse"; 

$resultat = @mysql_query($sql, $bd) or die (mysql_error( ) ) ; 
if (mysql_num_rows($resultat) == 0) { 
die( 'Sondage ou reponse inexistants . ' ) ; 

} 



Si nous sommes arrives ici, nous pouvons verifier que l'utilisateur n'a pas deja 
vote et, si c'est le cas, inserer une ligne de vote dans la table des votes : 



/* Verifie la presence d'un vote precedent. */ 
if (!$_COOKIE["${sondage}_vote"]) { 
/* On ajoute le vote dans la table. */ 
Ssql = "INSERT INTO votes ( ID_reponse , ID) 

VALUES (Sreponse, Ssondage);"; 
Sresultat = @mysql_query($sql, $bd) or 

die ("Ajout impossible : " . mysql_error( ) ) ; 



Si l'insertion du vote a reussi, nous pouvons configurer le cookie indiquant 
que l'utilisateur a deja vote. Ce cookie expirera dans 30 jours. 



/* Marque que l'utilisateur a vote pour ce sondage. */ 
setcookie("${sondage}_vote" , "1", time() + (60*60*24 * 30)); 

} 



Enfin, qu'il ait precedemment vote ou non, on lui envoie le resultat du 
sondage : 



/* Redirection vers le resultat du sondage. */ 

header ( "Location : af f ichage_vote . php?sondage=$sondage" ) ; 

?> 



Examinons maintenant les resultats. 

Recuperation du resultat d'un sondage 

Tout participant d'un sondage veut, evidemment, en connaitre le resultat. 
Nous utiliserons quelques petites astuces HTML pour afncher ce resultat comme 
dans la Figure 12.2. 
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bondage nujiifro 1 : Aimez-vous les sandwiches 7 

OuL. 




JenesaLs pas. 
| \429% 



Total Votes : 7 



Figure 12.2 : Resultat du sondage 

Le script affichage_vote.php commence comme les deux autres, en chargeant 
la configuration de la base de donnees et en verifiant que le parametre sondage 
contient bien un identifiant de sondage valide : 



<?php 

/* Affiche le resultat d'un sondage. */ 
require_once( "conf ig_vote . php" ) ; 

$sondage = $_REQUEST[ 1 sondage '] ; 
if ( ! is_numeric ($sondage) ) { 
die( "Sondage incorrect."); 

} 



Lorsque Ton verifie qu'un identifiant de sondage existe, nous pouvons aussi 
rechercher en meme temps la question de ce sondage car on aura eventuel- 
lement besoin de l'afficher : 



/* Recherche de la question. */ 
$sql = "SELECT question 
FROM sondages 
WHERE ID = Ssondage"; 
$resultat = @mysql_query($sql, $bd) or 

die ("Erreur MySQL : " . mysql_error( ) ) ; 
if (mysql_num_rows($resultat) != 1) { 
die( 'Sondage inexistant . ' ) ; 

} 

$ligne = mysql_fetch_array($resultat) ; 
$question = $ligne[ "question" ] ; 



Trouvons le nombre total de votes car nous en aurons besoin plus tard pour 
donner les pourcentages des differents votes : 
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$requete = "SELECT count(*) AS nb_votes_total 
FROM votes V 
WHERE V.ID = $sondage"; 

$resultat = @mysql_query($requete, $bd) or 
die ("Erreur MySQL : " . mysql_error() ) ; 
$ligne = mysql_fetch_array($resultat) ; 
$nb_votes_total = $ligne[ " nb_votes_total" ] ; 



II est temps de passer a la grosse requete qui recupere les nombres de chaque 
vote. C'est l'endroit ideal pour utiliser la clause LEFT JOIN avec un groupement 
SQL pour classer tous les votes. Bien que cette requete soit un peu plus compli- 
quee que toutes celles que nous avons deja rencontrees dans ce livre, il est facile 
de la decortiquer pour mieux la comprendre : 



$req = "SELECT R.reponse, R . ID_reponse , count(V. ID_reponse) as nb_votes 
FROM reponses R 
LEFT JOIN votes V 

ON V.ID = R.ID 

AND V.ID_reponse = R.ID_reponse 
WHERE R.ID = $sondage 
GROUP BY R.reponse 

ORDER BY nb_votes DESC , R.reponse ASC 

ii . 

J 

$resultat = @mysql_query($req, $bd) or 

die ("Erreur MySQL : " . mysql_error( ) ) ; 



Avec les resultats de cette requete sous la main, nous preparons l'en-tete 
HTML et la premiere partie de la page : 



print "<html><head><title>Sondage : $question</title></head><body>" ; 

print '<ul style="list-style-type : none; font-size: 12px;">'; 

print '<li style="f ont-weight : bold; padding-bottom: 10px;">'; 

print "Sondage numero $sondage : Squestion"; 

print ' </li> 1 ; 



Puis, nous parcourons chaque choix et nous affichons le resultat pour chacun 
d'eux : 



while (Sligne = mysql_f etch_array($resultat) ) { 
if ($nb_votes_total != 0) { 

$pct = sprintf ( "%.2f " , 100.0 * $ligne[ "nb_votes" ] / $nb_votes_total) ; 
} else { 
$pct = "0" ; 
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} 

$largeur_boite = strval(1 + intval($pct) ) . "px"; 
print '<li style="clear: left;">'; 
print "$ligne[ reponse] " ; 
print "</li>"; 

print ' <li style="clear: left; padding-bottom: 7px;">'; 

print '<div style="width : 1 . $largeur_boite . '; height: 15px; 1 

'; background: black; margin-right: 5px; float: left;">' . 

"</div>$pct%" ; 
print '</li>'; 

} 



Enfin, nous terminons le code HTML avec le nombre total de votes et les 
balises fermantes : 



print '<li style="clear: left;">'; 

print "Total Votes : $nb_votes_total" ; 

print ' </li> 1 ; 

print ' </ul> ' ; 

print 1 </body></html> 1 ; 

?> 



II reste bien sur de la place pour des ameliorations. 

Amelioration du script 

Vous pouvez adapter ce systeme a vos besoins de differentes facons. Vous pou- 
vez d'abord ajouter une interface graphique pour radministration du sondage 
d'ou vous pourrez non seulement creer de nouveaux sondages mais egalement 
activer ou desactiver des sondages existants. 

Vous pouvez rendre le sondage integrable ; au lieu qu'il apparaisse comme 
un script sur sa propre page, vous pouvez le transformer en un ensemble de fonc- 
tions. Lorsque vous affichez une page, vous pouvez alors placer le bulletin de vote 
avec une balise <div>. L'aspect le plus interessant d'un sondage integre est que 
vous pouvez utilisez AJAX avec les resultats. Lorsque l'utilisateur clique sur le 
bouton Votez .', le navigateur peut lancer un code JavaScript qui prend en compte 
le vote et remplace le bulletin par le resultat du sondage. 

Enfin, vous pourriez reflechir a d'autres moyens de vous assurer que les utili- 
sateurs ne votent pas deux fois. Pour ce faire, vous devez coupler la table des 
votes avec un systeme d'authentification. Ajoutez un champ indexe contenant les 
identifiants de connexion etverifiez dans cette table si l'utilisateur a deja vote au 
lieu d'utiliser un cookie. 
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Recette 75 : Cartes postales electroniques 



Les cartes electroniques existent depuis que le Web a penetre dans les foyers. 
Elles n'ont rien de bien complique puisqu'il suffit de fournir un contenu, d'ajou- 
ter un peu de code pour afficher ce contenu, d'adjoindre certaines fonctionnalites 
comme un accuse de reception etvous avez un service de cartes electroniques. Le 
systeme decritici est forme de quatre scripts, comme le precedent. Chacun d'eux 
contient un minimum de code et vous pouvez les personnaliser en fonction de 
vos envies. 

choisir_carte.php : Affiche les cartes disponibles. 

envoi_carte.php : Presente un formulaire pour choisir et envoyer une carte 
particuliere 

affiche_carte.php : Affiche la carte au destinataire et previent l'expediteur. 
config_carte.php : Configure la connexion a la base et fournit une fonction 
auxiliaire. 

Ce systeme utilise deux tables. La premiere s'appelle cartes et possede la 
structure suivante : 



CREATE TABLE cartes ( 

ID INT NOT NULL AUTO_INCREMENT , 
description MEDIUMTEXT NOT NULL , 
contenu VARCHAR ( 500 ) NOT NULL , 
categorie VARCHAR(20) NOT NULL , 
largeur INT NOT NULL , 
hauteur INT NOT NULL , 
apercu VARCHAR(120) , 
PRIMARY KEY (ID) 

) TYPE = MY I SAM ; 



Chaque ligne de cette table decrit une carte. Le champ contenu est du 
HTML : il peut s'agir d'une balise img, d'un fichier Flash integre ou meme de 
texte brut. Le champ apercu permet de previsualiser la carte dans la galerie ; il 
n'est pas obligatoire. Voici un exemple de ligne de cette table : 



INSERT INTO cartes 

(description, contenu, categorie, largeur, hauteur, apercu) 
VALUES 

("Carte d ' anniversaire 1", "<b>Joyeux anniversaire !</b> (1)", 
"Anniversaire" , 600, 300, NULL ); 



La table cartes envoyees memorise les cartes qui ont ete envoyees. Au debut, 
cette table est done vide : 



CREATE TABLE cartes_envoyees ( 

ID_envoi INT NOT NULL AUTO_INCREMENT , 
mel_exp VARCHAR ( 50 ) NOT NULL , 
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nom_exp VARCHAR ( 50 ) NOT NULL , 
mel_dest VARCHAR ( 50 ) NOT NULL , 
nom_dest VARCHAR ( 50 ) NOT NULL , 
message MEDIUMTEXT NOT NULL , 
jeton VARCHAR (32) NOT NULL , 
ID INT NOT NULL , 
reception TINYINT NULL , 
PRIMARY KEY ( ID_envoi ) 
) TYPE = MY I SAM ; 



Le script config_carte.php qui configure la connexion avec MySQL et qui est 
inclus par tous les autres contient egalement une fonction aff icher_carte( ) : 



<?php 

$connexion = @mysql_connect ( "localhost " , "login_bd" , "mdp_bd") or 

die(mysql_error( ) ) ; 
$bd = @mysql_select_db( "nom_base" , Sconnexion) or die(mysql_error ( ) ) ; 

function afficher_carte($carte) { 

print '<div style=" height : ' . $carte[ "hauteur" ] . ';' . 

' width: 1 . $carte[ "largeur" ] . ';' . 

' border: 1px solid; ' . 

' text-align: center; ">'; 
print Scarte[ "contenu" ] ; 
print ' </div> 1 ; 

} 

?> 



Le parametre $carte de cette fonction est un tableau refletant les champs de 
la table cartes. Vous pouvez done directement lui passer une ligne obtenue par un 
appel a mysql_f etch_array ( ). 

Choix d'une carte 

La premiere etape pour envoyer une carte electronique consiste a en choisir 
une. Le script choisir_carte.php est simplement une boucle qui affiche un menu 
contenant toutes les cartes disponibles. II commence done par configurer l'en- 
tete HTML et par creer quelques classes CSS : 



<html><head> 
<title>Choix d'une carte</title> 
<style> 

table. choix { font-family: sans-serif; font-size: 12px; } 

table. choix th { text-align: left; } 
</style> 
</head> 
<body> 
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Le code PHP commence par inclure la configuration de la base de donnees, 
puis recherche les cartes disponibles : 



<?php 

require_once( "conf ig_carte . php" ) ; 
/* Recherche des cartes. */ 

$sql = "SELECT ID, apercu, description, categorie 
FROM cartes 

ORDER BY categorie, description"; 
$resultat = @mysql_query($sql, $connexion) or die (mysql_error( ) ) ; 



Si Ton n'a trouve aucune carte, on indique le probleme. Sinon, on affiche le 
nombre de cartes disponibles et Ton ouvre un tableau HTML (chaque carte sera 
representee comme une ligne de ce tableau) : 



$nb_cartes = mysql_num_rows($resultat) ; 
if ($nb_cartes == 0) { 
die("Aucune carte n'a ete trouvee."); 

} 

$pluriel = ($nb_cartes == 1 ) ? "carte disponible" : "cartes disponibles"; 

print "II y a $nb_cartes $pluriel :<br />"; 

print "(cliquez sur une carte pour 1 1 envoyer)<br />"; 

print '<table class="choix"> ' ; 

print "<tr><th>Categorie</th><th>Nom</th><th>Apergu</th></tr>" ; 



Nous sommes prets a afHcher toutes les cartes comme des lignes du tableau. 
C'est une boucle relativement simple qui ne necessite pas de formatage car nous 
Favons deja precise dans l'en-tete du tableau. Vous remarquerez qu'on utilise un 
lien vers le script suivant, envoi_carte.php. 



while($ligne = mysql_f etch_array($resultat) ) { 
$lien = "envoi_carte . php?ID=$ligne[ ID] " ; 
print ' <tr> 1 ; 

print "<td>$ligne[categorie]</td>" ; 

print "<td><a href =\ "$lien\ ">$ligne[description] </a></td>" ; 
if ($ligne[ "apercu" ] ) { 

print "<td><a href =\ "$lien\ "> 

<img src=\ "$ligne[ ' apercu '] \ " /></a></td>"; 

} else { 

print "<td>(pas d ' apergu) </td>" ; 

} 

print "</tr>"; 

} 
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On termine le script en ajoutant les balises fermantes. Techniquement, la 
balise </table> pourrait etre placee dans la section HTML litterale mais, 
comme la balise ouvrante provient d'une instruction print, il est preferable 
d'etre coherent car nous pourrions eventuellement recopier ce code dans un 
autre script. 



print "</table>"; 
?> 

</body> 
</html> 



L'execution de ce script produit un affichage comme celui de la Figure 12.3. 



1 y a 2 canes disponiblcs : 

(cliqmcz sur unc carte pour l'cnvoycr) 

Cateyorie Nam Aper$u 

Anniveraaire Carte d'anniveraaire 1 (pasd'apercu) 
Anniversaire Carte d'anniveraaire 2 (pasd'apercu) 



Figure 12.3 : Menu pour choisir une carte 

Envoi d'une carte 

Apres avoir choisi une carte, l'utilisateur doit remplir un formulaire pour 
indiquer le destinataire, l'expediteur, le message et envoyer la carte. Comme de 
nombreux scripts de ce type, envoi_carte.php joue deux roles et il faut done bien 
faire attention a son deroulement. Lorsqu'il presente le formulaire, le script 
attend un parametre ID, contenant l'identinant de la carte. Lorsqu'il envoie le 
formulaire, plusieurs parametres se sont ajoutes : mel exp, nom exp, mel dest, 
nom_dest et message. 

Le script commence par valider l'identinant de carte qui lui a ete transmis et 
recherche cette carte dans la base de donnees : 



<?php 

require_once( "conf ig_carte. php" ) ; 

/* Validation de 1 ' identif iant de carte. */ 
$ID = $_REQUEST[ ' ID ' ] ; 

if ((!is_numeric($ID)) || ($ID == ") || ($ID < 1) ) { 
die( " Identif iant de carte incorrect."); 

} 

$sql = "SELECT ID, categorie, contenu, largeur, hauteur, description 
FROM cartes 
WHERE ID = $ID"; 
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$resultat = @mysql_query($sql, $connexion) or die (mysql_error ( ) ) ; 
if (mysql_num_rows($resultat) == 0) { 
die( 1 Identif iant de carte inconnu.'); 

} 

$carte = mysql_f etch_array ($resultat ) ; 



En verifiant la presence d'un parametre, on peut maintenant tester si Ton est 
en train d'afficher le formulaire ou d'envoyer la carte. Nous commencerons par 
traiter le cas ou Ton envoie la carte. La premiere chose consiste a examiner les 
parametres d'entree. Les methodes que nous utilisons sont minimales : vous pou- 
vez notamment ajouter un CAPTCHA (voir la recette n°66, "Creer une image 
CAPTCHA pour ameliorer la securite ") ou verifier que les adresses de courrier 
sont au bon format. 



/* Determine le mode - Affichage du formulaire ou envoi d'une carte ? */ 
if (isset($_POST['mel_dest'])) { 
/* Envoi d'une carte */ 

/* Verification et nettoyage des donnees. */ 
$mel_exp = substr($_POST[ 'mel_exp' ] , 0, 50); 
$nom_exp = substr($_POST[ 1 nom_exp' ] , 0, 50); 
$mel_dest = substr($_POST[ 'mel_dest 1 ] , 0, 50); 
$nom_dest = substr($_POST[ 1 nom_dest 1 ] , 0, 50); 
Smessage = substr($_POST[ 'message' ] , 0, 600); 
Smessage = strip_tags (Smessage) ; 
$nom_dest = strip_tags($nom_dest) ; 
$nom_exp = strip_tags ($nom_exp) ; 

if ($_P0ST[ 'message' ] == '') { 
die("Vous devez fournir un message !"); 

} 



Le script a simplement supprime les balises HTML du message, mais on peut 
aussi vouloir le formater un peu ; c'est la raison pour laquelle on utilise la fonc- 
tion autop() presentee dans la recette n°42, "Convertir du texte normal en 
HTML". 



/* Transformation du message texte en HTML. */ 
require( "autop.php" ) ; 
Smessage = autop($message) ; 



On fournit maintenant au destinataire un jeton unique qui lui permettra de 
visualiser le message personnalise. Bien que, techniquement, MD5 ne garantisse 
pas Funicite, la probabilite d'avoir deux hachages MD5 identiques avec les para- 
metres utilises est proche de zero ; on choisira done cette methode pour sa 
simplicite : 
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/* Creation d'un jeton de visualisation. */ 

Sjeton = md5(strval(time()) . $mel_exp . $mel_dest . $ID); 



Nous n'utilisons pas d'identifiant auto-incremente pour ce jeton car il serait 
trop facile a deviner. On insere maintenant les informations sur cette carte dans 
la table cartes_envoyees : 



/* Insere la ligne dans la table des cartes envoyees. */ 
$sql = ' INSERT INTO cartes_envoyees 

(mel_exp, nom_exp, message, 
mel_dest, nom_dest, jeton, ID) 

VALUES 

( " ' . $mel_exp . 1 " , " 1 . 
mysql_escape_string($nom_exp) . '", 111 . 
mysql_escape_string($message) . '", "' . 
$mel_dest . ' " , " ' . 

mysql_escape_string($nom_dest) . '", "' . 
$jeton . 1 " , 1 . 
$ID . 1 ) 1 ; 

Sresultat = @mysql_query($sql, Sconnexion) or die (mysql_error( ) ) ; 



Puis on utilise PHPMailer (voir la recette n°64, "Envoyer du courrier avec 
PHPMailer") pour expedier le message a son destinataire : 



/* Classe PHPMailer pour envoyer du courrier */ 
include_once( "phpmailer/class.phpmailer .php" ) ; 
Smail = new PHPMailer; 
$mail->ClearAddresses ( ) ; 
$mail->AddAddress ($mel_dest , $nom_dest) ; 
print "$mel_dest, $nom_dest<br />"; 
$mail->From = 'cartes@exemple.com'; 
$mail->FromName = $nom_exp; 

$mail->Subject = "Vous avez regu une carte postee par $nom_exp !"; 
$mail->Body = "Vous avez regu une carte electronique !\n"; 
$mail->Body .= "Rendez-vous sur 
http : / /www. exemple . com/af f iche_carte . php?j eton=$j eton pour la voir.\n\n"; 
$mail->Body .= "Cordialement , \nL ' equipe e-cartes."; 

if ($mail->Send()) { 

print 'Votre carte a ete envoyee !'; 
} else { 

print "Probleme d' envoi : " . $mail->ErrorInf o; 

} 
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C'est tout ce qu'il y a a faire pour envoyer les donnees du formulaire. 
Vous remarquerez le lien vers le script final affiche_carte.php et son parametre 
jeton dans le message envoye. Vous devrez modifier certaines parties de ce 
code, notamment l'URL, que vous pouvez placer dans config_carte.php. En 
outre, ce script devrait rediriger l'utilisateur vers une autre page un peu plus 
jolie. 

Le traitement pour afficher le formulaire est des plus classiques : 



} else { 

/* Afficher la carte et envoyer le formulaire. */ 

print '<span style="f ont-f amily: sans-serif; font-size: 12px;">'; 
print '<form action="envoi_carte.php" method=" post "> 1 ; 

print '<input name="ID" type="hidden" value=" ' . $carte['ID'] . '">'; 
aff iche_carte($carte) ; 
print ' <br /> 1 ; 

?> 

Mel du destinataire :<br /> 

<input name="mel_dest " type="text" size="30" maxlength="50"> 
<br /><br /> 

Nom du destinataire :<br /> 

<input name="nom_dest" type="text" size="30" maxlength="50"> 
<br /><br /> 

Message (Pas de HTML, 600 caracteres max) :<br /> 
<textarea name="message" cols="40" rows="6"></textarea> 
<br /><br /> 

Mel de l'expediteur :<br /> 

<input name="mel_exp" type="text" size="30" maxlength="50"> 
<br /><br /> 

Nom de l'expediteur :<br /> 

<input name="nom_exp" type="text" size="30" maxlength="50"></td></tr> 
<br /><br /> 

<input name="" type="submit" value="Envoyez votre carte !"></td></tr> 
</form> 
</span> 
<?php 

} 

?> 



Ce formulaire est represente a la Figure 12.4. 
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Joyeux Annlversatre ! {1} 



Mel du destinataire : 



Nom du destinataire : 



Message (Pas de HTML, 600 caraeteres max) : 



Or se voit bientot ? 









Mel de I'expediteur : 



j ac k£e xe m p I e.f£jn 
Nom de I'expediteur : 



Jack 



Lrvovez voce caae ! 



Figure 1 2.4 : Envoi d'une carte 

Visualisation d'une carte 

Nous avons presque termine : il reste a ecrire le script affi.che_carte.php qui 
affichera la carte a son destinataire et qui previendra I'expediteur que sa carte a 
ete lue. Le debut du script ressemble a celui des autres : il charge le fichier config_ 
carte.php et nettoie les parametres d'entree. Ici, nous supprimons tous les caraeteres 
non alphanumeriques du parametre j eton : 

<?php 

require_once( "conf ig_carte . php" ) ; 

$jeton = preg_replace( ' /["a-z0-9] / ' , '', $_REQUEST[ ' jeton ' ] ) ; 



Nous avons besoin de connaitre le contenu de la carte et les details de ce mes- 
sage particulier. Pour cela, il suffit de joindre les tables cartes et cartes envoyees 
sur leur champ ID et de rechercher le jeton. 



$sql = "SELECT E.nom_exp, E.mel_exp, E. message, 

E.nom_dest, E.mel_dest, E. reception, 
C. contenu, C.largeur, C. hauteur 



Mise en application 195 



FROM cartes_envoyees E, cartes C 
WHERE C.ID = S.ID 
AND E.jeton = '$jeton' "; 

$resultat = @mysql_query($sql, $connexion) or die (mysql_error ( ) ) ; 
if (mysql_num_rows($resultat) == 0) { 
die( 'Carte incorrecte. ' ) ; 

} 

$ligne = mysql_fetch_array($resultat) ; 



Le champ reception de la table cartes envoyees indique si la carte a deja ete 
lue ou non. II devrait toujours valoir juste apres l'envoi d'une carte. 

L'affichage de la carte et du message est un traitement ennuyeux. Heureuse- 
ment, la fonction af f iche carte ( ) de co?iftg_carle.php s'en charge et nous n'avons 
done plus a nous en preoccuper. 



print '<span style="f ont-f amily : sans-serif; font-size: 12px">'; 
print '<p>Vous avez regu une carte !</p>'; 

affiche_carte($ligne) ; 
print '<br />' ; 

print '<strong>' . stripslashes($ligne[ "nom_exp" ] ) . 

1 </strong> a ecrit : 1 ; 
print ' <br /> ' ; 

print stripslashes($ligne[ "message" ] ) ; 



Passons maintenant a Faccuse de reception. Nous devons tester si la carte a 
deja ete consultee, car nous ne voulons evidemment pas envoyer un message a 
l'expediteur a chaque fois qu'elle est lue. Comme nous Favons fait dans envoi_ 
carte.php, nous utiliserons PHPMailer pour envoyer Faccuse de reception : 



if ( !$ligne[ ' reception 1 ] ) { 

/* Previent l'expediteur que son message a ete lu. */ 
include_once( " phpmailer/ class. phpmailer. php" ) ; 
Smail = new PHPMailer; 
$mail->ClearAddresses ( ) ; 

Smail->AddAddress($ligne[ 'mel_exp' ] , $ligne[ ' nom_exp ' ] ) ; 

$mail->From = 'exempleiaexemple.com'; 

$mail->FromName = 'Equipe E-cartes'; 

$mail->Subject = 'Votre carte a ete lue'; 

$mail->Body = "Votre carte a ete lue par $ligne[nom_dest] . 

Cordialement , 
L ' equipe E-cartes. " ; 
$mail->Send( ) ; 
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Nous devons maintenant mettre a jour le champ reception de cette carte 
dans la table cartes envoyees pour que ce soit la seule fois ou cet accuse de 
reception soit envoye : 

$sql = "UPDATE cartes_envoyees 

SET reception = 1 

WHERE jeton = '$jeton' " ; 
@mysql_query($sql, $connexion); 

} 

?> 



La Figure 12.5 montre ce que affi.che_carte.php presentera a l'utilisateur. Ce 
n'est evidemment pas tres joli mais, en tant que maitre es HTML, vous n'aurez 
aucune difficulte a ameliorer tout cela, n'est-ce pas ? 



Vous avez recu una carte ! 



Joyeux Annlversalre ! (1) 



Jack a^crlt: 

On se wit bientot ? 



Figure 12.5 : La carte, telle qu'elle est vue par le destinataire 



Amelioration du script 

Ce systeme peut etre ameliore de plusieurs facons. Un des ajouts les plus 
importants consiste a installer un CAPTCHA ou un systeme similaire pour com- 
pliquer l'envoi de cartes de spam (voir la recette n°66, "Creer une image CAPTCHA 
pour ameliorer la securite") . 
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Une autre amelioration importante serait d'ajouter un outil d 'administration 
pour ajouter, modifier et desactiver des cartes. En outre, a partir d'un certain 
nombre de cartes, il devient difficile de toutes les afHcher et les gerer sur une 
seule page : vous pourriez done ajouter une fonction de recherche. 

Recette 76 : Un systeme de blog 

Les blogs sont nombreux parce qu'ils sont tres faciles a ecrire - il sufHt d'un 
systeme capable de memoriser des dates et du contenu. Le blog que nous presen- 
terons ici permet d'ajouter des billets, des commentaires et de visualiser les 
billets. Le systeme stocke les billets et les commentaires dans une base de donnees 
MySQL et utilise Smarty pour afficher des templates. 

La table qui contient les billets s'appelle billets blog : 



CREATE TABLE billetS_blog ( 

ID INT NOT NULL AUTO_INCREMENT , 
titre VARCHAR ( 120 ) NOT NULL , 
contenu TEXT NOT NULL , 
annonce TINYTEXT NOT NULL , 
datejullet DATETIME NOT NULL , 
categorie VARCHAR ( 12 ) NOT NULL , 
PRIMARY KEY ( ID ) 

) TYPE = MY I SAM ; 



La signification de plupart de ces champs est evidente. annonce est un extrait 
du billet, ne contenant aucune balise. Les commentaires sont stockes dans la 
table commentaires_blog : 



CREATE TABLE commentaires_blog ( 
ID_comment INT AUTO_INCREMENT , 
nom VARCHAR ( 50 ) NOT NULL , 
comment TEXT NOT NULL , 
date_comment timestamp, 
ID INT NOT NULL , 
PRIMARY KEY ( ID_comment ) 

) TYPE = MY I SAM ; 



La raison pour laquelle le champ date comment est de type timestamp est que 
nous n'avons pas l'intention de permettre la modification des commentaires : 
une fois poste, il ne changera jamais et il n'y a done pas besoin de configurer 
manuellement sa date. 

Comme pour les systemes precedents, nous utiliserons un fichier de configu- 
ration config_blog.php pour mettre en place la connexion MySQL et creer un objet 
Smarty. Avec cette configuration par defaut, les templates Smarty se trouveront 
dans le repertoire templates : 
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<?php 

session_start( ) ; 

$connexion = @mysql_connect ( "localhost " , "login", "secret") or 

die("Echec de la connexion."); 
$bd = @mysql_select_db( "nom_base" , Sconnexion) or die(mysql_error( ) ) ; 
require_once ( "smarty/Smarty. class. php" ) ; 
$smarty = new SmartyO; 
?> 

Voici un resume des quatre scripts du systeme : 

editer_blog.php : Ajoute et modifie les billets du blog 
index_blog.php : Affiche la liste des billets du blog 

afficher_blog.php : Affiche un billet individuel en integralite 
commenter_blog.php : Ajoute un commentaire a un billet du blog 

Creations de billets 

Avant de faire quoi que ce soit d'autre, il faut pouvoir ajouter du contenu. 
Nous allons done commencer par l'editeur de billet. Avec ce script, nous pour- 
rons reellement nous rendre compte que l'utilisation de Smarty permet de sepa- 
rer les templates HTML de PHP et que cela produit un code bien plus propre. 
Commencons par le template templates/ edition_blog.tpl: 

<html><head> 

<title>{Stitre}</title> 

{literal} 

<style> 

hi { 

font-family: sans-serif; 
font-size: 20px; 

} 

table. champs_saisie { 
font-family: sans-serif; 
font-size: 12px; 

} 

table. champs_saisie td { 
vertical-align: top; 

} 

</style> 
{/literal} 
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</head> 
<body> 

<h1>Nouveau billet</h1> 

<form method="post" action="editer_blog . php"> 
<table class="champs_saisie"> 

<tr> <td>Titre : </td><td><input name="titre" type="text" /></td> </ti~> 
<tr> <td>Contenu :</td> 

<td><textarea name="contenu" rows="15" cols="40"></textarea></td> 
</tr> 

<tr> <td>Categorie :</td><td><input name="categorie" type="text" /> </tr> 

<tr> <td /><td><input name=" submit" type=" submit" value="Poster" /></td> </tr> 

</table> 

</f orm> 

</body> 

</html> 



Ce template n'est rien de plus qu'un formulaire avec des champs tit re, contenu 
et categorie envoyes a editer_blog.php via la methode POST. La Figure 12.6 montre 
ce formulaire affiche dans un navigateur. 



Nouveau billet 


Titre : 


Essai 


Contenu : 


Ceci est mon premier billet de test 






/, 




Categorie : 




test 


(_ Poster ) 



Figure 12.6 : Poster un billet dans le blog 



Le script editer_blog.php fonctionne en deux modes. S'il prend ses entrees a 
partir du formulaire precedent, il nettoie ces entrees, ajoute le nouveau billet 
dans la base de donnees puis redirige Futilisateur vers une page d'affichage de ce 
billet : 
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<?php 

require_once( "conf ig_blog . php" ) ; 

if ($_REQUEST[ "submit"]) { 

$contenu = mysql_escape_string(strip_tags($_REQUEST[ "contenu"] , 

"<a><i><b><img>" ) ) ; 
$annonce = substr(strip_tags($contenu) , 0, 80); 
$titre = mysql_escape_string(strip_tags($_REQUEST[ "titre" ] ) ) ; 
$categorie = mysql_escape_string(strip_tags(S_REQUEST[ "categorie" ] ) ) ; 
Sq = "INSERT INTO billets_blog 

(titre, contenu, categorie, annonce, date_billet) 
VALUES ('$titre', '$contenu', ' Scategorie ' , '$annonce', now())"; 
mysql_query($q, Sconnexion) or die (mysql_error ( ) ) ; 
Sid = mysql_insert_id(Sconnexion) ; 
header ( " Location : af f iche_blog . php?ID=$id " ) ; 



Notez l'utilisation de la fonction mysql_insert_id( ) qui renvoie la valeur du 
dernier champ AUTO INCREMENT insere. Ici, il s'agit done du champ ID de la nou- 
velle ligne de billets blog et nous pouvons done l'utiliser pour rediriger l'utili- 
sateur vers la page qui affiche ce nouveau billet. 

Si Ton doit juste afHcher le formulaire au lieu d'inserer un billet, il sufHt de 
demander a Smarty de le faire : 



} else { 

Ssmarty->assign( "titre" , "Blog : poster un billet"); 
Ssmarty->display( "editer_blog.tpl" ) ; 

} 

?> 



Techniquement, vous pourriez coder en dur le titre dans le template mais, 
avec une variable, vous etes pret a creer un editeur plus joli si besoin est. 

Affichage d'un billet 

Le script afficher_blog.php doit afficher trois elements : un billet, les com- 
mentaires sur ce billet et un formulaire permettant de saisir un nouveau 
commentaire. 

Ces trois composants sont decrits dans templates/ afficherjblog.tpl. La premiere 
partie contient des informations d'en-tete et une fonction JavaScript qui nous 
servira plus tard a afficher le formulaire pour les commentaires : 
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<html><head> 
<title>{$titre}</title> 
{literal} 
<style> 
hi { 

font-family: sans-serif; 
font-size: 20px; 

} 

h4 { 

font-family: sans-serif; 
font-size: 12px; 

} 

.contenu { 
font-family: sans-serif; 
font-size: 12px; 

} 

</style> 
<script> 

function af f iche_f orm_comment ( ) { 

o = document .getElementByld ( "f orm_comment ") ; 
if (o) { o. style. display = ""; } 
o = document .getElementByld ( "lien_comment ") ; 
if (o) { o. style. display = "none"; } 

} 

</script> 

{/literal} 

</head> 



Passons maintenant a la section pour le contenu du billet. Comme sa struc- 
ture est statique, elle est relativement simple. Notez le lien vers index_blog.php, qui 
sera notre dernier script : 



<body> 

<span class="contenu"> 

<a href ="index_blog . php">Mon blog</a> 

<h1>{$titre}</h1> 

{Sdate} 



<p> 

{Scontenu} 
</p> 

Categorie : {Scategorie}<br /> 
<br /> 
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Pour les commentaires sur les billets, nous utiliserons la fonctionnalite {sec- 
tion} de Smarty car elle nous permet d'afficher un nombre quelconque de com- 
mentaires en parcourant un tableau. Ici, la variable $commentaires est un tableau 
de commentaires, chacun etant lui-meme un tableau ayant pour cle nom, date et 
comment pour acceder aux differents contenus des commentaires. Smarty par- 
court les commentaires et affiche le contenu de cette section pour chacun d'eux, 
ce qui permet une representation tres compacte de ce traitement. 

Sivous etes perdu, regardez plus bas comment affi.che_blog.php affecte la variable 
$commentaires. 



<h4>Commentaires</h4> 

{section name=i loop=$commentaires} 

<b>{$commentaires [ i] . nom}</b> ({$commentaires[i] .date})<br /> 
{$commentaires[i] .comment} 
<br /><br /> 
{/section} 



Enfin, nous devons afHcher le formulaire pour permettre aux utilisateurs 
d'ajouter leurs commentaires. Pour cela, on utilise une petite astuce : au lieu 
d'afficher directement le formulaire, on le cache jusqu'a ce que l'utilisateur 
clique sur le lien JavaScript "Ajouter un commentaire". L'action de ce formulaire 

est commenter_blog.php. 



<div id="lien_comment"> 

<a href =" JavaScript : affiche_f orm_comment (); ">Aj outer un commentaire</a> 
</div> 

<div id="f orm_comment " style="display : none;"> 
<form method="post" action="commenter_blog . php"> 
<input type="hidden" name="ID" value=" {$id} "> 
Votre nom :<br /> 
<input name="nom" type="text" /> 
<br /><br /> 
Commentaire :<br /> 

<textarea name=" commentaire" rows="8" cols="40"></textarea> 
<br /> 

<input type="submit" value="Poster le commentaire"> 
</f orm> 
</div> 
</span> 
</body> 
</html> 



La Figure 12.7 montre un exemple de billet avec un formulaire de commen- 
taire cache. 
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Men blog 

Essai 

25 Jul 2008, 19*7 

Ceci est men premier billet de test 

Categorie :test 

Comments ires 

Joe 1 25 Jul 2008, 20:07 
II afonctionne... 

Joe 2 2B Jul 2008, 19:07 

II a mfime tres bien fonctionne !!! 

Aiouter un commentaire 



Figure 12.7 : Un billet de blog (avec des commentairesj 

Maintenant que nous nous sommes occupe du HTML, affiche_blog.php est tres 
simple a ecrire. Nous suivons le scenario classique consistant a verifier le parametre 
d'entree ID et a rechercher le billet dans la base de donnees : 



<?php 

require_once( "conf ig_blog . php" ) ; 
$ID = intval($_REQUEST[ ' ID' ] ) ; 

$requete = "SELECT titre, categorie, contenu, 

UNIX_TIMESTAMP(date_billet) AS date_billet 
FROM billets_blog 
WHERE ID = $ID"; 

Sresultat = @mysql_query($requete, $connexion) or die(mysql_error-( ) ) ; 

if (mysql_num_rows($resultat) == 0) { 
die( ' Identif iant incorrect.'); 

} 



Si nous sommes arrives jusqu'ici, e'est que l'identifiant du billet est correct et 
que Ton peut done affecter ses donnees a l'objet Smarty : 



$ligne = mysql_fetch_array($resultat) ; 

$smarty->assign( "titre" , $ligne[ "titre" ] ) ; 

$smarty->assign( "contenu" , $ligne[ "contenu" ] ) ; 

$smarty->assign( "categorie" , $row[ "categorie" ] ) ; 

$smarty->assign( "date" , date("j MY, G:m", $ligne[ "date_billet" ] ) ) ; 

$smarty->assign( "id" , SID); 
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On retrouve les commentaires avec une requete SQL tres simple (il n'y a pas 
besoin de jointure) : 



/* Recherche des commentaires. */ 
$requete = "SELECT comment, nom, 

UNIX_TIMESTAMP(date_comment) AS date_comment 

FROM commentaires_blog 

WHERE ID = SID 

ORDER BY date_comment ASC"; 

Sresultat = @mysql_query($requete, Sconnexion) or die (mysql_error( ) ) ; 



II est temps de placer les commentaires dans un tableau de tableaux nomme 
$commentaires et d'affecter ce tableau a la variable $commentaires de Smarty. 
Habituellement, ce type de code est une succession d'instructions print pour 
ouvrir et fermer des balises mais, comme on Fa explique plus haut, la fonctionnalite 
{section} de Smarty rend tout cela trivial : 



Scommentaires = array(); 

while (Sligne = mysql_f etch_array(Sresultat) ) { 
Scommentaires[ ] = array) 
"nom" => Sligne[ "nom" ] , 
"comment" => Sligne [ "comment" ] , 

"date" => date("j M Y, G:m", Sligne [ "date_comment" ]) , 

); 

} 

$smarty->assign ( "commentaires" , Scommentaires) ; 
II ne reste plus qu'a traiter le template : 

/* Affichage de la page. */ 
$smarty->display( "af f iche_blog. tpl" ) ; 
?> 



Voyons maintenant comment traiter l'ajout d'un commentaire. 

Ajout de commentaires 

Le script qui ajoute des commentaires aux billets, commenter_blog.php, est le 
seul du systeme qui n'utilise pas de template car il n'affiche rien. Dans la section 
precedente, nous avons vu qu'il prenait trois parametres : ID, commentaire et nom 
contenant, respectivement, l'idendfiant du billet, le contenu du commentaire et 
le nom de celui qui a poste le commentaire. La premiere etape, comme d'habi- 
tude, consiste a verifier que Fidentinant est correct et correspond a un billet 
existant : 
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<?php 

require_once( "conf ig_blog . php" ) ; 
$ID = intval($_REQUEST["ID"]); 

/* Recherche le billet pour verifier qu'il existe bien. */ 
$requete = "SELECT titre FROM billets_blog WHERE ID = SID" ; 
$resultat = mysql_query($requete, Sconnexion) or die (mysql_error ( ) ) ; 
if (mysql_num_rows($resultat) != 1) { 

header ( "Location : index_blog . php" ) ; 

exit; 

} 



Puis, nous nettoyons le texte du commentaire et le nom en supprimant tout 
le code HTML qu'ils pourraient contenir. S'il reste encore quelque chose apres 
ce traitement, nous l'inserons dans la table commentaires_blog: 



$nom = mysql_escape_string (strip_tags($_REQUEST[ "nom" ] ) ) ; 

$commentaire = mysql_escape_string(strip_tags(S_REQUEST[ "commentaire" ] ) ) ; 

$commentaire = nl2br ($commentaire) ; 

if (! empty ($nom) && ! empty ($commentaire) ) { 

Srequete = "INSERT INTO commentaires_blog 
(ID, comment, nom) 
VALUES ($ID, 1 Scommentaire 1 , '$nom')"; 
mysql_query($requete, Sconnexion) or die (mysql_error ( ) ) ; 

} 



Nous terminons en redirigeant l'utilisateur vers la page d'affichage du billet 
qui contient desormais (en theorie) son commentaire : 



header ( "Location : af f icher_blog . php?ID=$ID" ) ; 

?> 



Desormais, la seule chose qui manque a notre systeme de blog est une page 
d'index. 

Creation d'un index des billets 

La page d'accueil qui presente les billets les plus recents ressemble a la page 
d'affichage d'un billet car elle utilise la fonctionnalite {section} de Smarty pour 
reduire le code de l'iteration. 

Le fichier templates /index_blog.tpl commence par cette information d'en-tete 
classique : 
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<html><head> 

<title>{$titre}</title> 
{literal} 
<style> 

table. billets { 
font-size: 12px; 

} 

table. billets td { 

padding-bottom: 7px; 

} 

.entete { 

font-size: 14px; 
font-weight: bold; 

} 

</style> 
{/literal} 
</head> 
<body> 

<a href ="index_blog . php">Mon blog</a> 



L'index du blog pourra afficher les billets classes par categorie si besoin est. 
La partie suivante affiche la categorie courante, s'il y en a une : 



{if Scategorie} 
<br /> 

Categorie : {$categorie} 
{/if} 



On utilise ensuite {section} pour parcourir la variable $billets, qui est un 
tableau de tableaux contenant, chacun, des informations sur un billet du blog : 



<br /> 

<table class="billets"> 
{section name=i loop=$billets} 
<tr><td> 
<span class="entete"> 

<a href="affiche_blog.php?ID={$billets[i] . ID}">{$billets[i] .titre}</a> 
</span> 
<br /> 

{$billets[i] .date}<br /> 
{Sbillets[i] . annonce}<br /> 

Categorie : <a href ="index_blog . php?categorie={$billets[ i] . param_cat "> 
{$billets[i] .categorie} 

</a> 
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</td></tr> 

{/section} 

</table> 

</body> 

</html> 



Le script index_blog.php commence par verifier l'existence d'un parametre 
categorie ; s'il existe, l'index n'affichera que les billets de cette categoric Pour 
ce faire, on nettoie d'abord ce parametre et on ajoute une clause WHERE pour res- 
treindre la requete que nous verrons bientot. S'il n'existe pas, on initialise la 
clause WHERE et la variable Smarty avec des chaines vides. 



<?php 

require_once( "conf ig_blog . php" ) ; 

if ($_REQUEST[ "categorie"] ) { 

$categorie = mysql_escape_string(S_REQUEST[ "categorie" ]) ; 

$clause_where = "WHERE categorie = ' $categorie 1 " ; 

$smarty->assign( "categorie" , $categorie) ; 
} else { 

$clause_where = ""; 

$smarty->assign( "categorie" , " " ) ; 

} 

La requete SQL s'exprime done de la facon suivante : 
$sql = "SELECT titre, categorie, annonce, 

UNIX_TIMESTAMP(date_billet) AS date_billet, ID 
FROM billetsjslog 
$clause_where 
ORDER BY date_billet DESC 
LIMIT 0, 20"; 

$resultat = @mysql_query($sql, $connexion) or die (mysql_error ( ) ) ; 
if (mysql_num_rows($resultat) == 0) { 
die("Aucun billet n'a ete trouve."); 

} 



Si cette requete a reussi, nous pouvons passer directement a la construction 
du tableau que Ton affectera a la variable $billets de Smarty : 



$elts = array( ) ; 

while ($ligne = mysql_f etch_array($resultat) ) { 
Selts[] = array( 

"ID" => $ligne[ "ID"] , 

"date" => date("j M Y, G:m", $ligne[ 'date_billet 1 ] ) , 
"titre" => $ligne[ "titre"] , 
"annonce" => $ligne[ "annonce" ] , 
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"categorie" => $ligne[ "categorie" ] , 
"param_cat" => urlencode($ligne[ "categorie" ]) , 

); 

} 

$smarty->assign( "billets" , $elts) ; 



On termine en affectant le titre de la page et en affichant le template (voir la 
Figure 12.8 pour le resultat final) : 



$smarty->assign( "titre" , "Blog : index"); 

$smarty->display( "index_blog .tpl" ) ; 

?> 



Mod blog 

C'est mon jour 

26 Jul 2008, 1 fl7 

J'ai beaucoup travaille aujourd'hui... etje suis fatigue, 
Categorie : guotidien 

Essai 2 

25 Jul 2008, 23:07 
Ceci est un autre test. 
Categorie : test 

Eaaal 

25 Jul 2008, 22507 

Ceci est mon premier billet de test 

Categorie : test 



Figure 12.8 : Index des billets 



Amelioration du script 

Les blogs ont ete concus pour etre bricoles. Vous pouvez done aj outer un 
grand nombre de fonctionnalites qui utiliseront vos connaissances en PHP ou 
qui les etendront. Voici quelques idees simples : 

Archivage : Lorsque vous commencerez a avoir un certain nombre de billets, 
vous devrez diviser Findex en plusieurs pages. La recette n°3, "Creer des liens 
Precedent/Suivant" au Chapitre 1 pourra vous y aider. 

Flux RSS : Appliquez votre connaissance des services web (recette n°73, 
"Construire un service web ") ann de syndiquer ce blog. 

Authentification et administration : Tel qu'il est concu, n'importe qui peut 
aj outer des billets au blog. Vous pouvez empecher cela en demandant une 
authentification avant d'ajouter un billet. En outre, vous pouvez gerer simul- 
tanement plusieurs blogs ou plusieurs auteurs, en ajoutant des noms d'uti- 
lisateurs dans les tables SQL du systeme. 
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CAPTCHA pour les commentaires : Si vous avez un blog, vous recevrez 
immanquablement des commentaires de spam. Vous pouvez les eliminer avec 
le script de la recette n° 66, "Creer une image CAPTCHA pour ameliorer la 
securite" ou avec Akismet. 

Quoi que vous fassiez, amusez-vous ! 
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Annexe 



Plusieurs scripts de ce livre utilisent une table inf os_ 
produits contenant les details d'un inventaire d'une 
hypothetique boutique. Voici la definition de cette table : 



CREATE TABLE inf os_produits ( 
nom_produit varchar(50) default NULL, 
num_produit int(10) default NULL, 

categorie enum( 1 chaussures ' , 'gants', ' chapeaux 1 ) default NULL, 
prix double default NULL, 
PRIMARY KEY ( num_produit ) 

); 



Apres avoir cree cette table, vous voudrez lui aj outer quelques donnees : 

INSERT INTO inf os_produits VALUES ('Bottes Western ', 1 2, 1 chaussures 1 , 1 9 .99) ; 

INSERT INTO inf os_produits VALUES ( 1 Pantouf les 1 , 1 7, 1 chaussures 1 , 9 .99) ; 

INSERT INTO inf os_produits VALUES ('Bottes de Snowboard 1 , 15, 1 chaussures 1 ,89.99) ; 

INSERT INTO inf os_produits VALUES ( 1 Tongs 1 , 19, 1 chaussures 1 , 2 .99) ; 

INSERT INTO inf os_produits VALUES ('Casquette de Baseball 1 , 20, 1 chapeaux 1 , 1 2 . 79) ; 



Bien que le champ num produit soit un peu arbitraire, il doit etre unique 
pour chaque ligne de la table. 
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76 SCRIPTS PHP 
POUR GAGNER 

DU TEMPS ET 
RESOUDRE VOS 

PROBLEM ES ! 



Vous decouvrez le Web dynamique et PHP et 
vous vous demandez comment I'utiliser dans vos 
applications ? Si vous souhaitez apprendre tout en 
obtenant rapidement des resultats, ce livre est fait 
pour vous. 

Les auteurs, programmeurs experiments, vous 
livrent des solutions «cles en main» en PHP pour 
resoudre les problemes couramment rencontres 
dans la creation de site web. Les 76 scripts de 
cet ouvrage vous permettront bien sOr d'installer 
et de configurer PHP ou de securiser vos scripts, 
mais aussi de gerer des sessions et de manipuler 
fichiers, e-mails et images. 

Grace a des exemples simples et concrets et a 
I'explication de chaque extrait de code, vous 
pourrez appliquez ces 76 «recettes» pour : 

• envoyer et recevoir du courrier electronique ; 

• memoriser le comportement des visiteurs a 
I'aide des cookies et des sessions ; 



• utiliser au mieux les options de configuration 
de PHP ; 

• manipuler des dates, des images et du texte 
d la volee ; 

• valider des cartes de credit ; 

• comprendre SOAP et les autres web 
services ; 

• utiliser des modeles HTML ; 

• creer un sondage en ligne, un systeme 
d'envoi de cartes electroniques et un blog en 
utilisant, notamment, le systeme de base de 
donnees MySQL ; 

• chiffrer vos donnees confidentielles; 

• empecher les attaques XSS... 

Enfin, vous decouvrirez pour chaque script des 
ameliorations possibles, adaptees a vos besoins. 
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